PolKit တွင် အရေးပါသော အားနည်းချက်သည် Linux ဖြန့်ဝေမှုအများစုတွင် root access ကိုခွင့်ပြုသည်။

Qualys သည် ဖြန့်ဖြူးမှုများတွင်အသုံးပြုသည့် Polkit (ယခင် PolicyKit) တွင် အသုံးပြုသည့် အားနည်းချက်တစ်ခု (CVE-2021-4034) ကို ခွဲခြားသတ်မှတ်ထားပြီး အခွင့်ထူးမခံရသေးသောအသုံးပြုသူများကို မြင့်မားသောဝင်ရောက်ခွင့်များလိုအပ်သည့် လုပ်ဆောင်ချက်များကို လုပ်ဆောင်ခွင့်ပြုထားသည်။ အားနည်းချက်သည် အခွင့်ထူးမရသေးသော ဒေသခံအသုံးပြုသူတစ်ဦးအား ၎င်းတို့၏အခွင့်ထူးများကို root လုပ်ရန်နှင့် စနစ်၏ထိန်းချုပ်မှုအပြည့်အ၀ရရှိရန် ခွင့်ပြုထားသည်။ ပြဿနာကို PwnKit ဟု ကုဒ်အမည်ပေးထားပြီး Linux ဖြန့်ချီမှုအများစုတွင် ပုံသေဖွဲ့စည်းပုံစနစ်တွင် အလုပ်လုပ်သည့် အလုပ်လုပ်သော exploit ကိုထုတ်လုပ်ရန်အတွက် မှတ်သားဖွယ်ဖြစ်ပါသည်။

SUID အမြစ်အလံနှင့်အတူ ပါလာသည့် PolKit ၏ pkexec utility တွင် ပြဿနာရှိနေပြီး သတ်မှတ်ထားသော PolKit စည်းမျဉ်းများနှင့်အညီ အခြားအသုံးပြုသူ၏အခွင့်ထူးများနှင့်အတူ ညွှန်ကြားချက်များကို လုပ်ဆောင်ရန် ဒီဇိုင်းထုတ်ထားသည်။ pkexec ထံပေးပို့သော command line arguments များကို မှားယွင်းစွာကိုင်တွယ်ခြင်းကြောင့်၊ အခွင့်ထူးမခံရသေးသောအသုံးပြုသူတစ်ဦးသည် access rules များကိုသတ်မှတ်ထားခြင်းမရှိပဲ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို ကျော်ဖြတ်ပြီး ၎င်းတို့၏ကုဒ်ကို root အဖြစ် run နိုင်ပါသည်။ တိုက်ခိုက်မှုတစ်ခုအတွက်၊ PolKit တွင် မည်သည့်ဆက်တင်များနှင့် ကန့်သတ်ချက်များကို သတ်မှတ်ထားသည်ဖြစ်စေ အရေးမကြီးပါ၊ pkexec utility ဖြင့် executable file အတွက် SUID root attribute ကို သတ်မှတ်ထားခြင်းသည် လုံလောက်ပါသည်။

လုပ်ငန်းစဉ်တစ်ခုစတင်သောအခါ Pkexec သည် command line argument count (argc) ၏တရားဝင်မှုကိုစစ်ဆေးမည်မဟုတ်ပါ။ pkexec ၏ developer များသည် argv array တွင် ပထမ entry တွင် process (pkexec) ၏ အမည် အမြဲပါရှိပြီး ဒုတိယမှာ NULL တန်ဖိုး သို့မဟုတ် pkexec မှတဆင့် စတင်သည့် command ၏ အမည်ဖြစ်သည်ဟု ယူဆပါသည်။ အငြင်းအခုံအရေအတွက်ကို array ၏အမှန်တကယ်အကြောင်းအရာများကိုမစစ်ဆေးဘဲ 1 ထက်အမြဲပိုကြီးသည်ဟုယူဆသောကြောင့်၊ လုပ်ငန်းစဉ်တစ်ခုသည် အချည်းနှီးသော argv အခင်းအကျင်းတစ်ခုကိုကျော်သွားပါက၊ Linux ၏ execve လုပ်ဆောင်ချက်ကိုခွင့်ပြုထားသောကြောင့် pkexec သည် NULL ကို ပထမအငြင်းအခုံအဖြစ်သတ်မှတ်မည် ( လုပ်ငန်းစဉ်အမည်) နှင့် နောက်တစ်ခုသည် array ၏ နောက်ဆက်တွဲအကြောင်းအရာများကဲ့သို့ ကြားခံမှတ်ဉာဏ်အပြင်ဘက်ဖြစ်သည်။ |———+————+——+————|————+————+——+————| | argv[0] | argv[1] | ... | argv[argc] | envp[0] | envp[1] | ... | envp[envc] | |—-|—-+—-|—+——+——|——|—|—-+—-|—-+——+——|——| VVVVVV "ပရိုဂရမ်" "-option" NULL "တန်ဖိုး" "PATH=name" NULL

ပြဿနာမှာ argv array ပြီးနောက် ပတ်ဝန်းကျင် variable များပါဝင်သော memory တွင် envp array တစ်ခုရှိသည်။ ထို့ကြောင့်၊ argv array သည် ဗလာဖြစ်နေပါက၊ pkexec သည် ပတ်၀န်းကျင်ပြောင်းလွဲပြောင်းနိုင်သော array ၏ပထမဒြပ်စင်မှ မြင့်မားသောအခွင့်အရေးများဖြင့် command run နှင့်ပတ်သက်သောဒေတာကို ထုတ်ယူသည် (argv[1] သည် envp[0] နှင့် ထပ်တူဖြစ်လာသည်)၊ ထိန်းချုပ်နိုင်သည့်အကြောင်းအရာများ တိုက်ခိုက်သူအားဖြင့်။

argv[1] ၏တန်ဖိုးကို လက်ခံရရှိပြီးနောက်၊ pkexec သည် PATH ရှိ ဖိုင်လမ်းကြောင်းများကို ထည့်သွင်းစဉ်းစားကာ အကောင်အထည်ဖော်နိုင်သောဖိုင်သို့ လမ်းကြောင်းအပြည့်အစုံကို ဆုံးဖြတ်ရန်နှင့် argv[1] သို့ ပြန်သွားရန် လမ်းကြောင်းအပြည့်အစုံဖြင့် စာကြောင်းတစ်ခုအား ညွှန်ပြချက်တစ်ခုရေးပေးသည်။ argv[1] သည် envp[0] နှင့် တူညီသောကြောင့် ပထမပတ်ဝန်းကျင် variable ၏တန်ဖိုးကို overwrite လုပ်စေသည်။ ပထမပတ်ဝန်းကျင် ကိန်းရှင်၏ အမည်ကို ခြယ်လှယ်ခြင်းဖြင့်၊ တိုက်ခိုက်သူသည် pkexec တွင် အခြားပတ်ဝန်းကျင် ကိန်းရှင်ကို အစားထိုးနိုင်သည်၊ ဥပမာ၊ suid ပရိုဂရမ်များတွင် ခွင့်မပြုသော “LD_PRELOAD” ပတ်ဝန်းကျင် ကိန်းရှင်ကို အစားထိုးကာ ၎င်းတို့၏ မျှဝေထားသော ဒစ်ဂျစ်တိုက်သို့ တင်ရန် စီစဉ်ပေးသည်။ လုပ်ငန်းစဉ်။

အလုပ်လုပ်သော exploit တွင် iconv_open() ကိုသုံးသည့် ကုဒ်ကိုခေါ်သောအခါတွင် သင်္ကေတကူးပြောင်းသည့်စာကြည့်တိုက်သို့ လမ်းကြောင်းကိုဆုံးဖြတ်ရန်အသုံးပြုသည့် GCONV_PATH variable ကို အစားထိုးခြင်းတွင် ပါဝင်ပါသည်။ GCONV_PATH အတွင်းရှိ လမ်းကြောင်းကို ပြန်လည်သတ်မှတ်ခြင်းဖြင့်၊ တိုက်ခိုက်သူသည် ၎င်းသည် တင်ထားသည့် စံအိုင်ကွန်v ဒစ်ဂျစ်တိုက်မဟုတ်ကြောင်း အာမခံနိုင်သော်လည်း pkexec ဖြင့် လုပ်ဆောင်နေသေးသည့် အဆင့်တွင် error မက်ဆေ့ချ်တစ်ခု ပြသသည့်အခါ ၎င်းမှ လုပ်ဆောင်မည့် ၎င်း၏ကိုယ်ပိုင်စာကြည့်တိုက်၊ root လုပ်ပိုင်ခွင့်များနှင့် launch permissions များကို စစ်ဆေးခြင်းမပြုမီ။

ပြဿနာသည် မှတ်ဉာဏ်ယိုယွင်းမှုကြောင့် ဖြစ်ရသည့်အချက်ကို သတိပြုမိသော်လည်း ၎င်းကို ဟာ့ဒ်ဝဲဗိသုကာကို အသုံးပြုသည်ဖြစ်စေ ယုံကြည်စိတ်ချရပြီး ထပ်ခါတလဲလဲ အသုံးချနိုင်ကြောင်း မှတ်သားထားသည်။ ပြင်ဆင်ထားသော exploit ကို Ubuntu၊ Debian၊ Fedora နှင့် CentOS တွင် အောင်မြင်စွာ စမ်းသပ်ခဲ့ပြီးဖြစ်သော်လည်း အခြားဖြန့်ဝေမှုများတွင်လည်း အသုံးပြုနိုင်ပါသည်။ မူရင်း exploit ကို လူသိရှင်ကြား မရရှိနိုင်သေးပါ၊ ၎င်းသည် အသေးအဖွဲဖြစ်ပြီး အခြားသုတေသီများက အလွယ်တကူ ပြန်လည်ဖန်တီးနိုင်ကြောင်း ညွှန်ပြသောကြောင့် patch update ကို အသုံးပြုသူအများအပြား၏ စနစ်များတွင် အမြန်ဆုံး ထည့်သွင်းရန် အရေးကြီးပါသည်။ Polkit သည် BSD စနစ်များနှင့် Solaris တို့အတွက်လည်း ရနိုင်သော်လည်း ၎င်းတို့အတွက် အသုံးပြုရန်အတွက် မလေ့လာရသေးပါ။ သိထားသည့်အရာမှာ OpenBSD တွင် တိုက်ခိုက်မှုကို မလုပ်ဆောင်နိုင်ခြင်းကြောင့်၊ OpenBSD kernel သည် execve() ကိုခေါ်သောအခါ null argc တန်ဖိုးကို ဖြတ်သန်းခွင့်မပြုသောကြောင့်ဖြစ်သည်။

pkexec အမိန့်ကို ပေါင်းထည့်လိုက်ကတည်းက ပြဿနာသည် ၂၀၀၉ ခုနှစ် မေလကတည်းက ရှိနေခဲ့သည်။ PolKit အားနည်းချက်အတွက် ပြင်ဆင်ခြင်းကို လက်ရှိတွင် patch တစ်ခုအနေဖြင့် ရနိုင်သည် ( patch ထုတ်ဝေခြင်းမရှိသေးပါ )၊ သို့သော် ဖြန့်ဖြူးရေးဆော့ဖ်ဝဲအင်ဂျင်နီယာများက ပြဿနာကို ကြိုတင်အကြောင်းကြားထားသောကြောင့်၊ ဖြန့်ဝေသူအများစုသည် အားနည်းချက်နှင့်ပတ်သက်သော အချက်အလက်များကို ထုတ်ဖော်ခြင်းဖြင့် အပ်ဒိတ်ကို တစ်ပြိုင်နက်တည်း ထုတ်ပြန်ခဲ့သည်။ ပြဿနာကို RHEL 2009/6/7၊ Debian၊ Ubuntu၊ openSUSE၊ SUSE၊ Fedora၊ ALT Linux၊ ROSA၊ Gentoo၊ Void Linux၊ Arch Linux နှင့် Manjaro တွင် ဖြေရှင်းထားပါသည်။ အားနည်းချက်ကို ပိတ်ဆို့ရန် ယာယီတိုင်းတာမှုအနေဖြင့် SUID အမြစ်အလံကို /usr/bin/pkexec ပရိုဂရမ် (“chmod 8 /usr/bin/pkexec”) မှ ဖယ်ရှားနိုင်သည်။

source: opennet.ru