שוואַכקייטן אין PAM און libblockdev וואָס לאָזן וואָרצל פּריווילעגיעס צו ווערן באַקומען אין די סיסטעם

Qualys האט אידענטיפיצירט א שוואכקייט (CVE-2025-6019) אין דער libblockdev ביבליאטעק וואס ערלויבט רוט פריווילעגיעס צו ווערן באקומען דורך מאניפולירן דעם udisks הינטערגרונט פראצעס. א פראטאטיפ עקספלויט איז דעמאנסטרירט געווארן אין Ubuntu, Debian, פעדאָראַ און openSUSE ליפּ 15.

דער udisks פּראָצעס ווערט גענוצט אין כּמעט אַלע דיסטריביושאַנז. Linux און גיט א די-בוס אינטערפייס פארן דורכפירן סטאָרידזש אפעראציעס, ווי למשל מאָונטינג און פֿאָרמאַטינג. צו דורכפירן סטאָרידזש אפעראציעס, רופט udisks libblockdev ביבליאָטעק פונקציעס. דורך פעליקייט, איז צוטריט צו udisks נאָר בנימצא פאר באַניצער וואָס לויפן אין דעם "allow_active" קאָנטעקסט, ד.ה., יענע מיט פיזישן צוטריט צום קאָמפּיוטער און פארבונדן דורך אַ לאָקאַלע קאַנסאָול אָדער גראַפֿישע סעסיע. באַניצער וואָס פאַרבינדן זיך ווייטנס, למשל דורך SSH, ווערן נישט צוגעטיילט צו דעם קאָנטעקסט און קענען נישט גלייך אויסנוצן די וואַלנעראַביליטי.

כדי צו בייגיין די באגרענעצונג, קענט איר ניצן א טריק וואס ערלויבט אייך צו הייבן דעם אויטענטיפיקאציע לעוועל צו "allow_active" דורך מאניפולירן דעם לאנטש פונעם באניצער סערוויס דורך דעם systemctl יוטיליטי, וואס polkitd וועט באמערקן אלס א סימן פון א לאקאלער סעסיע. די עסענץ פון דער מעטאד איז אז polkitd באשטימט די אנוועזנהייט פון פיזישן צוטריט און באשטימט דעם "allow_active" לעוועל באזירט אויף אומדירעקטע סימנים וואס קענען ווערן באאיינפלוסט. די באגרענעצונגען פון דער מעטאד זענען אז כדי צו פארפירן polkitd, איז עס נויטיג אז א לאקאלע באניצער סעסיע מיט פיזישן צוטריט זאל שוין זיין אקטיוו אין סיסטעם.

די צווייטע מעטאָדע פֿאַר באַקומען "allow_active" פּריווילעגיעס איז צו נוצן אַ שוואַכקייט (CVE-2025-6018) אין PAM (Pluggable Authentication Modules), וואָס Qualys פֿאָרשער האָבן אַנטדעקט בעת זייער אַנאַליז פֿון אַ שוואַכקייט אין libblockdev. די שוואַכקייט דערלויבט יעדן באַניצער, אַרייַנגערעכנט די וואָס זענען פֿאַרבונדן דורך SSH, צו דורכפֿירן אָפּעראַציעס אין דעם "allow_active" קאָנטעקסט. די פּראָבלעם איז ספּעציפֿיש צו PAM סעטטינגס אין openSUSE Leap 15 און SUSE. Linux ענטערפּרייז 15, און ערשיינט נאָר אין די פאַרשפּרייטונגען.

דער pam_env מאָדול אין openSUSE און SUSE איז דורך דיפאָלט אַקטיוויזירט צו לייענען די ~/.pam_environment טעקע. די טעקע ערלויבט דעם באַניצער צו שטעלן די סביבה וועריאַבאַלן XDG_SEAT=seat0 און XDG_VTNR=1, וואָס וועלן ווערן פּראַסעסט ווי באַווייַז פון דעם באַניצער'ס פיזישער בייַזייַן, אפילו אויב דער באַניצער איז טאַקע איינגעלאָגט דורך SSH. דער pam_env מאָדול ווערט אויך גערופן ווען מען קאַנעקט דורך SSH. Debian 12 און Ubuntu 24.04 (אין Debian 13 און Ubuntu 24.10+ איז עס אפגעשטעלט), אבער שטעלן סביבה וועריאַבלען אין די דיסטריביושאַנז קען נישט ווערן גענוצט צו פאַרגרעסערן דעם אַקסעס לעוועל צו "allow_active", ווייל pam_env ווערט גערופן אין דער לעצטער שטאַפּל נאָך לאָדן דעם pam_systemd מאָדול און די איינגעשטעלטע סביבה וועריאַבלען קענען נישט אַפעקטירן די סעסיע פּאַראַמעטערס.

וואָס שייך די שוואַכקייט אין libblockdev, קען אַן אַטאַקירער מאָנטירן אַן בילד פֿון אַן אַרביטרערער טעקע סיסטעם אין לופּ מאָדע, און שטעלן אַן עקסעקוטאַבלע טעקע מיטן SUID וואָרצל פֿאָן אָדער אַ ספּעציעלע דעוויס (/dev/mem) פֿאַר נידעריק-לעוועל אַקסעס צו דיסקס אָדער זכּרון אין דעם בילד. כּדי צו בלאָקירן אַזעלכע אַטאַקעס, ווערן FS בילדער מאָנטירט דורך דעם סיסטעם מיט די nosuid און nodev פֿאָנען, אָבער די שוואַכקייט אין libblockdev מאַכט עס מעגלעך צו מאָנטירן אַן בילד אָן די nosuid און nodev פֿאָנען. די עסענץ פֿון דער שוואַכקייט איז אַז udisks ערלויבט אַ באַניצער מיטן "allow_active" אַקסעס לעוועל צו ענדערן די גרייס פֿון זייערע טעקע סיסטעמען, און libblockdev מאָנטירט צייטווייליק דעם FS אָן צו שטעלן די nosuid און nodev פֿאָנען בעת ​​דעם אָפּעראַציע.

אזוי, דער אטאקע קומט אראפ צו שאפן א לופּ דעווייס באזירט אויף אן XFS פייל סיסטעם בילד וואס אנטהאלט א suid רוט פייל, אנפאנגען אן אפעראציע צו ענדערן די גרייס פון דעם לופּ דעווייס, און מאניטארן דעם מאמענט וואס עס ווערט אינסטאלירט אין דעם /tmp/blockdev* דירעקטארי: victim> killall -KILL gvfs-udisks2-volume-monitor victim> udisksctl loop-setup —פייל ./xfs.image —no-user-interaction געמאפטע פייל ./xfs.image אלס /dev/loop0. victim> while true; do /tmp/blockdev*/bash -c 'sleep 10; ls -l /tmp/blockdev*/bash' && break; געטאן 2>/dev/null & victim> gdbus רוף —סיסטעם —dest org.freedesktop.UDisks2 —אביעקט-וועג /org/freedesktop/UDisks2/block_devices/loop0 —מעטאד org.freedesktop.UDisks2.Filesystem.Resize 0 '{}' טעות: GDBus.Error:org.freedesktop.UDisks2.Error.Failed: טעות ביים טוישן די גרייס פון פיילסיסטעם אויף /dev/loop0: נישט געקענט אראפנעמען '/dev/loop0' נאכדעם וואס עס איז טוישן די גרייס: ציל איז פארנומען -r-sr-xr-x. 1 וואָרצל וואָרצל 1406608 יוני 18 09:42 /tmp/blockdev.RSM429/bash victim> /tmp/blockdev*/bash -p victim# id uid=65534(קיינער) gid=65534(קיינער) euid=0(וואָרצל) groups=65534(קיינער)

די שוואַכקייט אין libblockdev איז נאָר ביז איצט געפּאַטשט געוואָרן. איר קענט קאָנטראָלירן דעם סטאַטוס פון אַ נייַער פּאַקעט ווערסיע אָדער דעם פּאַטש צוגרייטונג פּראָצעס פֿאַר אייערע דיסטריביושאַנז אויף די פאלגענדע בלעטער (אויב אַ בלאַט איז נישט בנימצא, האָבן די דיסטריביושאַן ס דעוועלאָפּערס נאָך נישט אָנגעהויבן אויספאָרשן דעם פּראָבלעם): Debian, Ubuntu, פעדאָראַ, SUSE/openSUSE, RHEL, דזשענטאָ, און אַרטש (1, 2). אַלס אַן אַרומגאַנג צו בלאָקירן די וואַלנעראַביליטי, קענט איר מאָדיפיצירן די אַקסעס הערשן פֿאַר די "org.freedesktop.udisks2.modify-device" אָפּעראַציע אין פּאָלקיט דורך ענדערן דעם "allow_active" פּאַראַמעטער פֿון "yes" צו "auth_admin" אין דער /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy טעקע.

דערצו, א שוואכקייט (CVE-2025-6020) אין דעם לינוקס-פּאַם פּעקל, וואָס איז געוואָרן אַנטפּלעקט עטלעכע שעה צוריק, ערלויבט אַ לאָקאַלן באַניצער צו באַקומען רוט פּריווילעגיעס. דער pam_namespace מאָדול האָט נישט ריכטיק וואַלידירט באַניצער-קאָנטראָלירטע טעקע פּאַטס, וואָס האָט ערלויבט פּריווילעגירטע טעקעס צו ווערן איבערגעשריבן אין סיסטעם דורך סימבאָלישע לינק מאַניפּולאַציע און ראַסע באדינגונגען. די שוואכקייט איז געוואָרן פאַרריכט אין לינוקס-פּאַם 1.7.1. איר קענט קאָנטראָלירן דעם סטאַטוס פון דער נייער פּעקל ווערסיע אָדער דעם פּאַטש וואָס ווערט צוגעגרייט פֿאַר דיסטריביושאַנז אויף די פאלגענדע בלעטער: Debian, Ubuntu, פעדאָראַ, SUSE/openSUSE, RHEL, דזשענטו און אַרטש (1, 2).

מקור: opennet.ru