OpenSMTPD मधील भेद्यता जे दूरस्थ आणि स्थानिक रूट प्रवेशास अनुमती देतात

क्वालिस कंपनी प्रकट मेल सर्व्हरमधील आणखी एक रिमोट क्रिटिकल असुरक्षा (CVE-2020-8794) OpenSMTPD, OpenBSD प्रकल्पाद्वारे विकसित. जानेवारीच्या शेवटी ओळखल्याप्रमाणे भेद्यता, नवीन समस्या रूट वापरकर्ता अधिकारांसह सर्व्हरवर अनियंत्रित शेल आदेश दूरस्थपणे कार्यान्वित करणे शक्य करते. अगतिकता काढून टाकले अंकात OpenSMTPD 6.6.4p1.

रिमोट मेल सर्व्हरवर मेल वितरीत करणार्‍या कोडमधील बगमुळे समस्या उद्भवली आहे (इनकमिंग कनेक्शन हाताळणार्‍या कोडमध्ये नाही). हल्ला क्लायंट बाजूला आणि सर्व्हर बाजूला दोन्ही शक्य आहे. क्लायंटच्या बाजूने, OpenSMTPD च्या डीफॉल्ट कॉन्फिगरेशनमध्ये हल्ला शक्य आहे, ज्यामध्ये OpenSMTPD फक्त अंतर्गत नेटवर्क इंटरफेस (लोकलहोस्ट) वर विनंत्या स्वीकारते आणि बाह्य सर्व्हरवर मेल संदेश पाठवते. असुरक्षिततेचा फायदा घेण्यासाठी, हे पुरेसे आहे की, पत्राच्या वितरणादरम्यान, OpenSMTPD आक्रमणकर्त्याद्वारे नियंत्रित मेल सर्व्हरसह एक सत्र स्थापित करते किंवा आक्रमणकर्ता क्लायंट कनेक्शनमध्ये वेज करू शकतो (MITM किंवा DNS किंवा BGP द्वारे हल्ल्यादरम्यान पुनर्निर्देशन). ).

सर्व्हर-साइड हल्ल्यासाठी, OpenSMTPD इतर मेल सर्व्हरकडून बाह्य नेटवर्क विनंत्या प्राप्त करण्यासाठी किंवा तृतीय-पक्ष सेवा देण्यासाठी कॉन्फिगर केले जाणे आवश्यक आहे जे तुम्हाला अनियंत्रित ईमेलवर विनंती पाठविण्याची परवानगी देतात (उदाहरणार्थ, वेबसाइट्सवरील पत्ता पुष्टीकरण फॉर्म). उदाहरणार्थ, आक्रमणकर्ता OpenSMTPD सर्व्हरशी कनेक्ट होऊ शकतो आणि चुकीचे पत्र (अस्तित्वात नसलेल्या वापरकर्त्याला) पाठवू शकतो, ज्यामुळे आक्रमणकर्त्याच्या सर्व्हरला एरर कोड (बाउन्स) असलेले पत्र पाठवून प्रतिसाद मिळेल. आक्रमणकर्त्याच्या सर्व्हरवर सूचना वितरीत करण्यासाठी OpenSMTPD कनेक्ट केल्यावर आक्रमणकर्ता असुरक्षिततेचा फायदा घेऊ शकतो. अटॅक दरम्यान इंजेक्ट केलेल्या शेल कमांड्स फाईलमध्ये ठेवल्या जातात जे OpenSMTPD रीस्टार्ट केल्यावर रूट अधिकारांसह कार्यान्वित केले जातात, म्हणून आक्रमणकर्त्याने OpenSMTPD रीस्टार्ट होण्याची प्रतीक्षा केली पाहिजे किंवा आक्रमण पूर्ण करण्यासाठी OpenSMTPD चा क्रॅश सुरू केला पाहिजे.

कनेक्शन स्थापित झाल्यानंतर रिमोट सर्व्हरद्वारे परत आलेल्या मल्टीलाइन प्रतिसादाचे विश्लेषण करण्यासाठी कोडमधील mta_io() फंक्शनमध्ये समस्या उपस्थित आहे (उदाहरणार्थ, "250-ENHANCEDSTATUSCODES" आणि "250 HELP"). OpenSMTPD गणना करते की पहिल्या ओळीत तीन-अंकी संख्या आणि "-" वर्णाने विभक्त केलेला मजकूर समाविष्ट आहे आणि दुसऱ्या ओळीत तीन-अंकी संख्या आणि स्पेसने विभक्त केलेला मजकूर आहे. जर तीन-अंकी क्रमांकानंतर दुसऱ्या ओळीत स्पेस आणि मजकूर येत नसेल, तर मजकूर परिभाषित करण्यासाठी वापरलेला पॉइंटर '\0' वर्णानंतर बाइटवर सेट केला जातो आणि शेवटी डेटा कॉपी करण्याचा प्रयत्न केला जातो. बफर मध्ये ओळ.

OpenBSD प्रकल्पाच्या विनंतीनुसार, असुरक्षिततेच्या शोषणाविषयीच्या तपशीलांचे प्रकाशन 26 फेब्रुवारीपर्यंत लांबणीवर टाकण्यात आले आहे जेणेकरून वापरकर्त्यांना त्यांच्या सिस्टम अपडेट करता येतील. डिसेंबर 2015 पासून कोडबेसमध्ये समस्या उपस्थित आहे, परंतु मे 2018 पासून रूट विशेषाधिकारांसह कोड अंमलबजावणीपूर्वी शोषण शक्य झाले आहे. संशोधकांनी शोषणाचा एक कार्यरत प्रोटोटाइप तयार केला, ज्याची OpenBSD 6.6, OpenBSD 5.9, Debian 10, Debian 11 (चाचणी) आणि Fedora 31 साठी OpenSMTPD बिल्डमध्ये यशस्वीरित्या चाचणी केली गेली.

OpenSMTPD मध्ये देखील ओळखले आणखी एक भेद्यता (CVE-2020-8793) जी स्थानिक वापरकर्त्यास सिस्टमवरील कोणत्याही फाइलची पहिली ओळ वाचण्याची परवानगी देते. उदाहरणार्थ, तुम्ही /etc/master.passwd ची पहिली ओळ वाचू शकता, ज्यामध्ये रूट वापरकर्त्याचा पासवर्ड हॅश आहे. ही फाइल /var/sool/smtpd/ डिरेक्ट्री प्रमाणेच फाइल प्रणालीमध्ये स्थित असल्यास असुरक्षा तुम्हाला दुसर्‍या वापरकर्त्याच्या मालकीच्या फाइलची संपूर्ण सामग्री वाचण्याची परवानगी देते. बर्‍याच Linux वितरणांवर ही समस्या शोषक नाही जिथे /proc/sys/fs/protected_hardlinks चे मूल्य 1 वर सेट केले आहे.

समस्या अपूर्ण निर्मूलनाचा परिणाम आहे समस्या, 2015 मध्ये Qualys द्वारे आयोजित ऑडिट दरम्यान आवाज दिला. आक्रमणकर्ता “PATH=” व्हेरिएबल सेट करून “_smtpq” गटाच्या अधिकारांसह त्याच्या कोडची अंमलबजावणी करू शकतो. आणि सध्याच्या निर्देशिकेत मेकमॅप नावाची स्क्रिप्ट ठेवणे (smtpctl युटिलिटी मार्ग स्पष्टपणे न सांगता मेकमॅप चालवते). "_smtpq" गटात प्रवेश मिळवून, आक्रमणकर्ता नंतर शर्यतीची स्थिती निर्माण करू शकतो (ऑफलाइन निर्देशिकेत एक मोठी फाइल तयार करा आणि एक SIGSTOP सिग्नल पाठवा) आणि प्रक्रिया पूर्ण होण्यापूर्वी, ऑफलाइन निर्देशिकेतील फाईल हार्डने बदला. सिमलिंक लक्ष्य फाइलकडे निर्देश करते ज्याची सामग्री वाचणे आवश्यक आहे.

हे लक्षात घेण्याजोगे आहे की Fedora 31 मध्ये भेद्यता तुम्हाला रूट गटाचे विशेषाधिकार ताबडतोब प्राप्त करण्यास अनुमती देते, कारण smtpctl प्रक्रिया setgid smtpq फ्लॅगऐवजी, setgid रूट फ्लॅगसह सुसज्ज आहे. रूट गटात प्रवेश मिळवून, तुम्ही /var/lib/sss/mc/passwd ची सामग्री अधिलिखित करू शकता आणि सिस्टममध्ये संपूर्ण रूट प्रवेश मिळवू शकता.

स्त्रोत: opennet.ru