Er is een kwetsbaarheid (CVE-2022-31214) ontdekt in het Firejail-applicatie-sandboxprogramma, waardoor een lokale gebruiker root-rechten kan verkrijgen op het hostsysteem. Een werkende exploit, getest in de huidige openSUSE-releases, is publiekelijk beschikbaar. DebianArch, Gentoo en Fedora met Firejail geïnstalleerd. Het probleem is opgelost in Firejail 0.9.70. Als tijdelijke oplossing kunt u de parameters "join no" en "force-nonewprivs yes" instellen in de configuratie (/etc/firejail/firejail.config).
Firejail maakt gebruik van namespaces, AppArmor en systeemoproepfiltering (seccomp-bpf) voor isolatie. LinuxMaar om geïsoleerde uitvoering te configureren, zijn verhoogde privileges vereist, die worden verkregen door de suid root-vlag aan het hulpprogramma te koppelen of het met sudo uit te voeren. De kwetsbaarheid wordt veroorzaakt door een logische fout in de optie "--join=". ", ontworpen om verbinding te maken met een reeds draaiende, geïsoleerde omgeving (vergelijkbaar met het inlogcommando voor een sandbox-omgeving) door de omgeving te identificeren aan de hand van de proces-ID die erin draait. Tijdens de fase vóór het resetten van de privileges bepaalt firejail de privileges van het opgegeven proces en past deze toe op het nieuwe proces dat verbinding maakt met de omgeving met behulp van de optie "--join".
Voordat er verbinding wordt gemaakt, wordt gecontroleerd of het opgegeven proces in de firejail-omgeving draait. Deze controle evalueert de aanwezigheid van het bestand /run/firejail/mnt/join. Om het beveiligingslek te misbruiken, kan een aanvaller een fictieve, niet-geïsoleerde firejail-omgeving simuleren met behulp van de mount-naamruimte, en er vervolgens verbinding mee maken met behulp van de optie “--join”. Als de instellingen de modus voor het verbieden van het verkrijgen van extra rechten in nieuwe processen (prctl NO_NEW_PRIVS) niet inschakelen, zal firejail de gebruiker verbinden met een dummy-omgeving en proberen de gebruikersnaamruimte-instellingen van het init-proces toe te passen (PID 1).
Als gevolg hiervan zal het proces dat is verbonden via "firejail -join" terechtkomen in de oorspronkelijke gebruikers-ID-naamruimte van de gebruiker met ongewijzigde rechten, maar in een andere mountpoint-ruimte, volledig gecontroleerd door de aanvaller. Een aanvaller kan ook setuid-root-programma's uitvoeren in de mountpoint-ruimte die hij heeft gemaakt, waardoor hij bijvoorbeeld de /etc/sudoers-instellingen of PAM-parameters in zijn bestandshiërarchie kan wijzigen en opdrachten met root-rechten kan uitvoeren met behulp van de sudo of su nutsbedrijven.
Bron: opennet.ru
