🥇 नेटवर्कडी-डिस्पॅचरमधील असुरक्षा ज्यामुळे तुम्हाला रूट अधिकार मिळू शकतात

मायक्रोसॉफ्टच्या सुरक्षा संशोधकांनी नेटवर्क-डिस्पॅचर सेवेमध्ये दोन असुरक्षा (CVE-2022-29799, CVE-2022-29800) ओळखल्या आहेत, ज्याचे कोडनेम Nimbuspwn आहे, जे अनाधिकृत वापरकर्त्याला रूट विशेषाधिकारांसह अनियंत्रित आदेश अंमलात आणण्याची परवानगी देतात. नेटवर्कडी-डिस्पॅचर 2.2 च्या रिलीझमध्ये समस्या निश्चित केली आहे. वितरणांद्वारे अद्यतनांच्या प्रकाशनाबद्दल अद्याप कोणतीही माहिती नाही (Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux).

नेटवर्क पॅरामीटर्स कॉन्फिगर करण्यासाठी पार्श्वभूमी प्रक्रिया systemd-networkd वापरणाऱ्या Ubuntu सह अनेक Linux वितरणांमध्ये Networkd-डिस्पॅचरचा वापर केला जातो आणि NetworkManager-dispatcher प्रमाणेच कार्ये करतो, उदा. जेव्हा नेटवर्क कनेक्शनची स्थिती बदलते तेव्हा स्क्रिप्ट लॉन्च करण्यात गुंतलेली असते, उदाहरणार्थ, मुख्य नेटवर्क कनेक्शन स्थापित झाल्यानंतर VPN लाँच करण्यासाठी वापरले जाते.

नेटवर्कडी-डिस्पॅचरशी संबंधित पार्श्वभूमी प्रक्रिया रूट म्हणून चालते आणि डी-बस द्वारे इव्हेंट सिग्नल प्राप्त करते. नेटवर्क कनेक्शनच्या स्थितीतील बदलांशी संबंधित घटनांबद्दल माहिती systemd-networkd सेवेद्वारे पाठविली जाते. समस्या अशी आहे की अनप्रिव्हिलेज्ड वापरकर्ते अस्तित्वात नसलेले स्टेट इव्हेंट व्युत्पन्न करू शकतात आणि त्यांची स्क्रिप्ट रूट म्हणून कार्यान्वित करण्यासाठी ट्रिगर करू शकतात.

Systemd-networkd हे फक्त /etc/networkd-dispatcher निर्देशिकेत असलेल्या सिस्टीम हँडलर स्क्रिप्ट चालविण्यासाठी डिझाइन केले आहे आणि वापरकर्ता बदलण्यासाठी प्रवेशयोग्य नाही, परंतु फाइल पथ प्रक्रिया कोडमधील असुरक्षा (CVE-2022-29799) मुळे, तेथे होते आउट-ऑफ-बाउंड्स बेस डिरेक्टरी आणि अनियंत्रित स्क्रिप्ट लाँच करण्याची शक्यता. विशेषतः, स्क्रिप्टचा फाईल मार्ग तयार करताना, D-Bus द्वारे प्रसारित केलेली Operational State आणि AdministrativeState व्हॅल्यूज वापरली गेली, ज्यामध्ये विशेष वर्ण साफ केले गेले नाहीत. हल्लेखोर स्वतःची स्थिती निर्माण करू शकतो, ज्याच्या नावात “../” वर्ण आहेत आणि नेटवर्कडी-डिस्पॅचर कॉल दुसर्‍या निर्देशिकेवर पुनर्निर्देशित करू शकतात.

दुसरी असुरक्षा (CVE-2022-29800) ही शर्यतीच्या स्थितीशी संबंधित आहे - स्क्रिप्ट पॅरामीटर्स (रूटशी संबंधित) तपासणे आणि ते चालवणे दरम्यान, फाईल बदलण्यासाठी पुरेसा कमी कालावधी होता आणि चेक बायपास केला गेला की नाही. स्क्रिप्ट रूट वापरकर्त्याच्या मालकीची आहे. याव्यतिरिक्त, नेटवर्कडी-डिस्पॅचरने सबप्रोसेस. पोपेन कॉलद्वारे स्क्रिप्ट चालवताना यासह प्रतीकात्मक दुवे तपासले नाहीत, ज्याने आक्रमणाची संस्था लक्षणीयरीत्या सरलीकृत केली.

ऑपरेटिंग तंत्र:

निर्देशिका “/tmp/nimbuspwn” आणि एक प्रतीकात्मक दुवा “/tmp/nimbuspwn/poc.d” ही निर्देशिका “/sbin” कडे निर्देश करून तयार केली जाते, जी रूटच्या मालकीच्या एक्झिक्यूटेबल फाइल्स तपासण्यासाठी वापरली जाते.
“/sbin” वरून एक्झिक्युटेबल फाइल्ससाठी, त्याच नावाच्या फाइल्स “/tmp/nimbuspwn” निर्देशिकेत तयार केल्या जातात, उदाहरणार्थ, “/sbin/vgs” फाइलसाठी “/tmp/nimbuspwn/vgs” ही एक एक्झिक्यूटेबल फाइल आहे. बनवलेले, एका अनाधिकृत वापरकर्त्याच्या मालकीचे, ज्यामध्ये आक्रमणकर्त्याला चालवायचा असलेला कोड ठेवला जातो.
OperationalState मधील “../../../tmp/nimbuspwn/poc” मूल्य दर्शविणारा सिग्नल नेटवर्कडी-डिस्पॅचर प्रक्रियेला D-Bus द्वारे पाठविला जातो. नेमस्पेस “org.freedesktop.network1” मध्ये सिग्नल पाठवण्यासाठी, त्याच्या हँडलर्सला systemd-networkd शी जोडण्याची क्षमता वापरली गेली, उदाहरणार्थ, gpgv किंवा epmd सह फेरफार करून, किंवा तुम्ही systemd-networkd या वस्तुस्थितीचा फायदा घेऊ शकता. डीफॉल्टनुसार चालत नाही (उदाहरणार्थ, लिनक्स मिंटवर).
सिग्नल मिळाल्यानंतर, नेटवर्कडी-डिस्पॅचर रूट वापरकर्त्याच्या मालकीच्या आणि "/etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d" निर्देशिकेत उपलब्ध असलेल्या एक्झिक्यूटेबल फाइल्सची सूची तयार करते. जे प्रत्यक्षात "/sbin" शी लिंक करते.
या क्षणी जेव्हा फाइल्सची सूची प्राप्त होते, परंतु स्क्रिप्ट अद्याप लाँच केलेली नाही, प्रतीकात्मक दुवा “/tmp/nimbuspwn/poc.d” वरून “/tmp/nimbuspwn” वर पुनर्निर्देशित केला जातो आणि नेटवर्कडी-डिस्पॅचर लाँच करेल. मूळ अधिकारांसह आक्रमणकर्त्याद्वारे होस्ट केलेली स्क्रिप्ट.

स्त्रोत: opennet.ru

नेटवर्कडी-डिस्पॅचरमधील भेद्यता जे रूट प्रवेशास अनुमती देते

एक टिप्पणी जोडा Отменить ответ