Microsoft جي سيڪيورٽي محققن ٻن خطرن جي نشاندهي ڪئي آهي (CVE-2022-29799, CVE-2022-29800) نيٽ ورڪ-ڊسپيچر سروس ۾، ڪوڊنيم Nimbuspwn، جيڪي هڪ غير مراعات يافته صارف کي روٽ استحقاق سان صوابديدي حڪمن تي عمل ڪرڻ جي اجازت ڏين ٿيون. مسئلو حل ڪيو ويو آهي نيٽ ورڪ ڊيسپيچر 2.2 جي ڇڏڻ ۾. اڃا تائين تقسيم جي طرفان تازه ڪاري جي اشاعت بابت ڪا ڄاڻ ناهي (Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux).
نيٽ ورڪ ڊيسپيچر ڪيترن ئي لينڪس ڊسٽريبيوشنز ۾ استعمال ڪيو ويندو آهي، بشمول Ubuntu، جيڪو نيٽ ورڪ پيراميٽرز کي ترتيب ڏيڻ لاءِ پس منظر وارو عمل systemd-networkd استعمال ڪندو آهي، ۽ ڪم سرانجام ڏيندو آهي جهڙوڪ NetworkManager-dispatcher، يعني. اسڪرپٽ لانچ ڪرڻ ۾ مصروف آهي جڏهن نيٽ ورڪ ڪنيڪشن جي حالت تبديل ٿئي ٿي، مثال طور، اهو استعمال ڪيو ويندو آهي VPN لانچ ڪرڻ کان پوءِ مکيه نيٽ ورڪ ڪنيڪشن قائم ٿيڻ کان پوءِ.
نيٽ ورڪ ڊيسپيچر سان لاڳاپيل پس منظر وارو عمل روٽ طور هلندو آهي ۽ ڊي-بس ذريعي واقعن جا سگنل وصول ڪري ٿو. نيٽ ورڪ ڪنيڪشن جي حالت ۾ تبديلين سان لاڳاپيل واقعن بابت معلومات سسٽم ڊي نيٽ ورڪ سروس طرفان موڪلي وئي آهي. مسئلو اهو آهي ته غير استحقاق وارا صارف هڪ غير موجود رياستي واقعا پيدا ڪري سگهن ٿا ۽ انهن جي اسڪرپٽ کي روٽ طور تي عمل ڪرڻ لاءِ ٽرگر ڪري سگهن ٿا.
Systemd-networkd صرف /etc/networkd-dispatcher ڊاريڪٽري ۾ موجود سسٽم هينڊلر اسڪرپٽس کي هلائڻ لاءِ ٺهيل آهي ۽ صارف جي متبادل لاءِ دستياب ناهي، پر فائل پاٿ پروسيسنگ ڪوڊ ۾ هڪ ڪمزوري (CVE-2022-29799) جي ڪري، اتي موجود هئي. هڪ حد کان ٻاهر جي بنيادي ڊاريڪٽري جو امڪان ۽ صوابديدي اسڪرپٽ شروع ڪرڻ. خاص طور تي، جڏهن اسڪرپٽ ڏانهن فائل جو رستو ٺاهيندي، D-Bus ذريعي منتقل ٿيل Operational State ۽ Administrative State Values استعمال ڪيا ويا، جن ۾ خاص اکر صاف نه ڪيا ويا. حملو ڪندڙ پنهنجي رياست ٺاهي سگهي ٿو، جنهن جو نالو "../" اکرن تي مشتمل آهي ۽ نيٽ ورڪ ڊي-ڊسپيچر ڪال کي ٻي ڊاريڪٽري ڏانهن منتقل ڪري ٿو.
ٻيو نقصان (CVE-2022-29800) هڪ نسل جي حالت سان لاڳاپيل آهي - اسڪرپٽ پيٽرولر جي جانچ ڪرڻ جي وچ ۾ (روٽ سان تعلق رکي ٿو) ۽ ان کي هلائڻ لاء، وقت جو مختصر وقت هو، فائل کي تبديل ڪرڻ لاء ڪافي ۽ چيڪ کي نظرانداز ڪيو ويو ته ڇا. اسڪرپٽ جو تعلق روٽ استعمال ڪندڙ سان آهي. ان کان علاوه، نيٽ ورڪ ڊيسپيچر علامتي لنڪس جي چڪاس نه ڪئي، بشمول جڏهن اسڪرپٽ هلائيندڙ ذيلي پروسيس ذريعي. پوپن ڪال، جنهن کي خاص طور تي حملي جي تنظيم کي آسان بڻائي ڇڏيو.
آپريٽنگ ٽيڪنڪ:
- هڪ ڊاريڪٽري “/tmp/nimbuspwn” ۽ هڪ علامتي لنڪ “/tmp/nimbuspwn/poc.d” ٺاهي وئي آهي ڊائريڪٽري ڏانهن اشارو ڪندي “/sbin”، جيڪا روٽ جي ملڪيت واري ايگزيڪيوٽيبل فائلن کي چيڪ ڪرڻ لاءِ استعمال ٿئي ٿي.
- "/sbin" مان قابل عمل فائلن لاء، ساڳئي نالي سان فائلون "/tmp/nimbuspwn" ڊاريڪٽري ۾ ٺاهي وينديون آهن، مثال طور، فائل "/sbin/vgs" لاء هڪ قابل عمل فائل "/tmp/nimbuspwn/vgs" آهي. ٺاهيل، هڪ غير مراعات يافته صارف جي ملڪيت، جنهن ۾ ڪوڊ جيڪو حملو ڪندڙ هلائڻ چاهي ٿو رکيل آهي.
- D-Bus ذريعي هڪ سگنل موڪليو ويو آهي نيٽ ورڪ ڊي-ڊسپيچر جي عمل ڏانهن اشارو ڪندي قدر "../../../tmp/nimbuspwn/poc" OperationalState ۾. نالو اسپيس ۾ سگنل موڪلڻ لاءِ ”org.freedesktop.network1“، ان جي هينڊلرن کي systemd-networkd سان ڳنڍڻ جي صلاحيت استعمال ڪئي وئي، مثال طور، gpgv يا epmd سان ٺاهه جي ذريعي، يا توهان ان حقيقت جو فائدو وٺي سگهو ٿا ته systemd-networkd. ڊفالٽ طور تي نه هلندو آهي (مثال طور، لينڪس مائيٽ تي).
- سگنل حاصل ڪرڻ کان پوء، نيٽورڪ ڊي-ڊسپيچر ايگزيڪيوٽو فائلن جي هڪ فهرست ٺاهي ٿو جيڪو روٽ استعمال ڪندڙ جي ملڪيت آهي ۽ ڊاريڪٽري ۾ موجود آهي "/etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d"، جيڪو اصل ۾ "/sbin" سان ڳنڍيل آهي.
- هن وقت جڏهن فائلن جي لسٽ ملي وئي آهي، پر اسڪرپٽ اڃا تائين شروع نه ڪئي وئي آهي، علامتي لنڪ کي "/tmp/nimbuspwn/poc.d" کان "/tmp/nimbuspwn" ڏانهن منتقل ڪيو ويو آهي ۽ نيٽ ورڪ ڊي-ڊسپيچر لانچ ڪندو. اسڪرپٽ روٽ حقن سان حملي ڪندڙ طرفان ميزباني ڪئي وئي آهي.
جو ذريعو: opennet.ru