🥇 नेटवर्कडी-डिस्प्याचरमा कमजोरीहरू जसले तपाईंलाई रूट अधिकारहरू प्राप्त गर्न अनुमति दिन्छ

माइक्रोसफ्टका सुरक्षा अनुसन्धानकर्ताहरूले नेटवर्कड-डिस्प्याचर सेवामा दुई कमजोरीहरू (CVE-2022-29799, CVE-2022-29800) पहिचान गरेका छन्, कोडनाम Nimbuspwn, जसले एक विशेषाधिकार नभएका प्रयोगकर्तालाई रूट विशेषाधिकारहरूसँग मनमानी आदेशहरू कार्यान्वयन गर्न अनुमति दिन्छ। नेटवर्क-डिस्प्याचर 2.2 को रिलीजमा समस्या समाधान गरिएको छ। वितरणहरूद्वारा अद्यावधिकहरूको प्रकाशनको बारेमा कुनै जानकारी छैन (डेबियन, RHEL, Fedora, SUSE, Ubuntu, Arch Linux)।

Networkd-dispatcher Ubuntu सहित धेरै लिनक्स वितरणहरूमा प्रयोग गरिन्छ, जसले नेटवर्क प्यारामिटरहरू कन्फिगर गर्न पृष्ठभूमि प्रक्रिया systemd-networkd प्रयोग गर्छ, र NetworkManager-dispatcher जस्तै कार्यहरू गर्दछ, अर्थात्। सञ्जाल जडानको स्थिति परिवर्तन हुँदा स्क्रिप्टहरू सुरु गर्नमा संलग्न हुन्छ, उदाहरणका लागि, यो मुख्य नेटवर्क जडान स्थापना भएपछि VPN सुरु गर्न प्रयोग गरिन्छ।

नेटवर्कडी-डिस्प्याचरसँग सम्बन्धित पृष्ठभूमि प्रक्रिया रूटको रूपमा चल्छ र D-बस मार्फत घटना संकेतहरू प्राप्त गर्दछ। नेटवर्क जडानको स्थितिमा परिवर्तनहरूसँग सम्बन्धित घटनाहरूको बारेमा जानकारी systemd-networkd सेवा द्वारा पठाइन्छ। समस्या यो हो कि गैर-अवस्थित प्रयोगकर्ताहरूले गैर-अस्तित्व घटना उत्पन्न गर्न सक्छन् र तिनीहरूको स्क्रिप्टलाई रूटको रूपमा कार्यान्वयन गर्न ट्रिगर गर्न सक्छन्।

Systemd-networkd लाई /etc/networkd-dispatcher डाइरेक्टरीमा अवस्थित प्रणाली ह्यान्डलर स्क्रिप्टहरू चलाउनको लागि डिजाइन गरिएको हो र प्रयोगकर्ता प्रतिस्थापनको लागि पहुँचयोग्य छैन, तर फाइल मार्ग प्रशोधन कोडमा एउटा जोखिम (CVE-2022-29799) को कारणले गर्दा, त्यहाँ एक थियो। सीमा बाहिरको आधार डाइरेक्टरीको सम्भावना र स्वेच्छाचारी लिपिहरू सुरु गर्ने। विशेष गरी, स्क्रिप्टमा फाइल मार्ग बनाउँदा, D-Bus मार्फत प्रसारित OperationalState र AdministrativeState मानहरू प्रयोग गरियो, जसमा विशेष क्यारेक्टरहरू खाली गरिएन। आक्रमणकारीले आफ्नै राज्य उत्पन्न गर्न सक्छ, जसको नाममा क्यारेक्टरहरू थिए "../" र नेटवर्कडी-डिस्प्याचर कललाई अर्को डाइरेक्टरीमा रिडिरेक्ट गर्नुहोस्।

दोस्रो जोखिम (CVE-2022-29800) दौड अवस्थासँग सम्बन्धित छ - स्क्रिप्ट प्यारामिटरहरू (रूटसँग सम्बन्धित) जाँच गर्ने र यसलाई चलाउने बीचमा, त्यहाँ छोटो अवधि थियो, फाइल प्रतिस्थापन गर्न र जाँचलाई बाइपास गर्न पर्याप्त थियो। स्क्रिप्ट रूट प्रयोगकर्तासँग सम्बन्धित छ। थप रूपमा, नेटवर्कडी-डिस्प्याचरले सबप्रोसेस मार्फत लिपिहरू चलाउँदा सहित प्रतीकात्मक लिङ्कहरूको लागि जाँच गरेन। पोपेन कल, जसले आक्रमणको संगठनलाई महत्त्वपूर्ण रूपमा सरल बनायो।

सञ्चालन प्रविधि:

डाइरेक्टरी "/tmp/nimbuspwn" र एक प्रतीकात्मक लिङ्क "/tmp/nimbuspwn/poc.d" सिर्जना गरिएको छ डाइरेक्टरी "/sbin" लाई संकेत गर्दै, जुन रूटको स्वामित्वमा रहेका कार्यान्वयनयोग्य फाइलहरू जाँच गर्न प्रयोग गरिन्छ।
"/sbin" बाट कार्यान्वयनयोग्य फाइलहरूको लागि, उही नामका फाइलहरू "/tmp/nimbuspwn" डाइरेक्टरीमा सिर्जना गरिन्छ, उदाहरणका लागि, फाइल "/sbin/vgs" को लागि एउटा कार्यान्वयनयोग्य फाइल "/tmp/nimbuspwn/vgs" हो। सिर्जना गरिएको, एक विशेषाधिकार नभएको प्रयोगकर्ताको स्वामित्वमा, जसमा आक्रमणकारीले चलाउन चाहेको कोड राखिएको छ।
D-Bus मार्फत नेटवर्कd-डिस्प्याचर प्रक्रियामा "../../../tmp/nimbuspwn/poc" को अपरेशनल स्टेटमा मान जनाउने संकेत पठाइन्छ। नामस्थान "org.freedesktop.network1" मा संकेत पठाउन, यसको ह्यान्डलरहरूलाई systemd-networkd मा जडान गर्ने क्षमता प्रयोग गरिएको थियो, उदाहरणका लागि, gpgv वा epmd सँग हेरफेर मार्फत, वा तपाइँ तथ्यको फाइदा लिन सक्नुहुन्छ कि systemd-networkd। पूर्वनिर्धारित रूपमा चलिरहेको छैन (उदाहरणका लागि, लिनक्स मिन्टमा)।
संकेत प्राप्त गरेपछि, Networkd-dispatcher ले रूट प्रयोगकर्ताको स्वामित्वमा रहेको निष्पादन योग्य फाइलहरूको सूची बनाउँछ र निर्देशिका "/etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d" मा उपलब्ध छ। जुन वास्तवमा "/sbin" मा लिङ्क हुन्छ।
यस क्षणमा जब फाइलहरूको सूची प्राप्त भयो, तर स्क्रिप्ट अझै सुरु गरिएको छैन, प्रतीकात्मक लिङ्कलाई "/tmp/nimbuspwn/poc.d" बाट "/tmp/nimbuspwn" मा रिडिरेक्ट गरिएको छ र नेटवर्कडी-डिस्प्याचरले सुरु गर्नेछ। रूट अधिकारको साथ आक्रमणकर्ताद्वारा होस्ट गरिएको लिपि।

स्रोत: opennet.ru

नेटवर्कडी-डिस्प्याचरमा कमजोरीहरू जसले रूट पहुँचलाई अनुमति दिन्छ

एक टिप्पणी थप्न Отменить ответ