🥇स्नॅप पॅकेज टूलकिटमध्ये रूट असुरक्षा

क्वालिसने या वर्षी स्नॅप-कंफाइन युटिलिटीमध्ये तिसरी गंभीर भेद्यता ओळखली आहे (CVE-2022-3328), जी SUID रूट फ्लॅगसह येते आणि स्वयं-समाविष्ट पॅकेजेसमध्ये वितरित केलेल्या अनुप्रयोगांसाठी एक एक्झिक्यूटेबल वातावरण तयार करण्यासाठी स्नॅपडी प्रक्रियेद्वारे कॉल केली जाते. स्नॅप स्वरूपात. भेद्यता स्थानिक अनप्रिव्हिलेज्ड वापरकर्त्याला डीफॉल्ट उबंटू कॉन्फिगरेशनमध्ये रूट म्हणून कोडची अंमलबजावणी करण्यास अनुमती देते. snapd 2.57.6 च्या रिलीझमध्ये समस्या निश्चित केली गेली आहे. उबंटूच्या सर्व समर्थित शाखांसाठी पॅकेज अद्यतने जारी केली गेली आहेत.

विशेष म्हणजे, स्नॅप-कंफाइनमध्ये फेब्रुवारीच्या समान असुरक्षा निश्चित करण्याच्या प्रक्रियेत प्रश्नातील भेद्यता सादर करण्यात आली. संशोधक उबंटू सर्व्हर 22.04 मध्ये रूट ऍक्सेस प्रदान करणारे एक कार्यरत शोषण तयार करण्यात सक्षम होते, ज्यामध्ये स्नॅप-कंफाइन असुरक्षा व्यतिरिक्त, मल्टीपाथ प्रक्रियेतील दोन भेद्यता देखील समाविष्ट आहेत (CVE-2022-41974, CVE-2022-41973) विशेषाधिकार प्राप्त कमांड पास करताना परवानग्या चेक बायपास करणे आणि प्रतीकात्मक लिंक्सच्या असुरक्षित हाताळणीशी संबंधित.

snap-confine मधील भेद्यता must_mkdir_and_open_with_perms() फंक्शनमधील रेस कंडिशनमुळे होते, जे /tmp/snap च्या प्रतिस्थापनापासून संरक्षण करण्यासाठी जोडले जाते. $SNAP_NAME डिरेक्टरी मालकाच्या तपासणीनंतर प्रतीकात्मक लिंकसह, परंतु माउंट सिस्टम कॉल करण्यापूर्वी स्नॅप फॉरमॅटमध्‍ये पॅकेजसाठी त्‍यामध्‍ये बाइंड-माउंट डिरेक्‍टरीज बोलावले जाते. जोडलेली सुरक्षा /tmp/snap.$SNAP_NAME डिरेक्टरी अस्तित्वात असल्यास आणि रूट वापरकर्त्याच्या मालकीची नसल्यास /tmp मधील अन्य डिरेक्टरीमध्ये पुनर्नामित करणे आवश्यक आहे.

/tmp/snap.$SNAP_NAME डिरेक्ट्रीचे नाव बदलण्याच्या ऑपरेशनचे शोषण करताना, संशोधकांनी या वस्तुस्थितीचा फायदा घेतला की snap-confine स्नॅप पॅकेजच्या सामग्रीच्या रूटसाठी /tmp/snap.rootfs_XXXXXX निर्देशिका देखील तयार करते. नावाचा "XXXXXX" भाग mkdtemp() द्वारे यादृच्छिकपणे निवडला जातो, परंतु "rootfs_XXXXXX" नावाचे पॅकेज sc_instance_name_validate पास करू शकते (म्हणजे $SNAP_NAME ला "rootfs_XXXXXX" वर सेट करण्याची कल्पना आहे आणि नंतर नाव बदलण्याच्या ऑपरेशनमुळे ओव्हरराइटिंग होईल. स्नॅप रूटसह /tmp/snap.rootfs_XXXXXX निर्देशिका).

/tmp/snap.rootfs_XXXXXX चा एकाचवेळी वापर करण्यासाठी आणि /tmp/snap.$SNAP_NAME चे नाव बदलण्यासाठी, स्नॅप-कंफाइनच्या दोन घटना सुरू केल्या होत्या. पहिल्या प्रसंगाने /tmp/snap.rootfs_XXXXXX तयार करताच, प्रक्रिया अवरोधित केली जाईल आणि rootfs_XXXXXX पॅकेज नावाची दुसरी घटना सुरू होईल, ज्यामुळे दुसऱ्या प्रसंगाची तात्पुरती निर्देशिका /tmp/snap.$SNAP_NAME /tmp/snap होईल. पहिल्या घटनेची .rootfs_XXXXXX रूट निर्देशिका. नाव बदलल्यानंतर लगेचच, दुसरी घटना क्रॅश झाली आणि /tmp/snap.rootfs_XXXXXX हे रेस कंडिशन मॅनिपुलेशनने बदलले गेले, जसे की फेब्रुवारीच्या असुरक्षिततेच्या शोषणात. बदलानंतर, अंमलबजावणी लॉक पहिल्या प्रसंगातून काढला गेला आणि आक्रमणकर्त्यांनी स्नॅप रूट निर्देशिकेवर पूर्ण नियंत्रण मिळवले.

शेवटची पायरी म्हणजे symlink /tmp/snap.rootfs_XXXXXX/tmp तयार करणे जे sc_bootstrap_mount_namespace() फंक्शनद्वारे फाइल सिस्टममधील कोणत्याही डिरेक्ट्रीमध्ये राइटेबल रिअल डिरेक्टरी /tmp बाइंड-माउंट करण्यासाठी वापरले जाते, कारण mount() कॉल खालीलप्रमाणे आहे. आरोहित करण्यापूर्वी symlinks. असे माउंटिंग AppArmor निर्बंधांद्वारे अवरोधित केले आहे, परंतु हे अवरोधित करणे बायपास करण्यासाठी, शोषणाने मल्टीपाथमध्ये दोन सहायक असुरक्षा वापरल्या आहेत.

स्त्रोत: opennet.ru

स्नॅप पॅकेज मॅनेजमेंट टूलकिटमध्ये रूट असुरक्षा

एक टिप्पणी जोडा Отменить ответ