Αποκαλύφθηκε η Qualys την είδηση που προσδιορίζω δύο τρωτά σημεία (CVE-2021-44731 και CVE-2021-44730) στο βοηθητικό πρόγραμμα snap-confine, αποστέλλεται με τη σημαία ρίζας SUID και καλείται από τη διαδικασία snapd να δημιουργήσει ένα εκτελέσιμο περιβάλλον για εφαρμογές που διανέμονται σε πακέτα snap.
Στην ανάρτηση του ιστολογίου αναφέρεται ότι Τα τρωτά σημεία επιτρέπουν σε έναν μη προνομιούχο τοπικό χρήστη να επιτύχει την εκτέλεση κώδικα ως root μέσα στο σύστημα.
Η πρώτη ευπάθεια επιτρέπει μια επίθεση χειρισμού φυσικής σύνδεσης, αλλά απαιτεί απενεργοποίηση της προστασίας σκληρών συνδέσμων συστήματος (ρυθμίζοντας το sysctl fs.protected_hardlinks σε 0).
το πρόβλημα οφείλεται σε λανθασμένη επαλήθευση της θέσης των εκτελέσιμων των βοηθητικών προγραμμάτων snap-update-ns και snap-discard-ns που τρέχουν ως root. Η διαδρομή προς αυτά τα αρχεία υπολογίστηκε στη συνάρτηση sc_open_snapd_tool() με βάση τη δική της διαδρομή από το /proc/self/exe, επιτρέποντάς σας να δημιουργήσετε έναν σκληρό σύνδεσμο για να περιορίσετε τον κατάλογό σας και να βάλετε τις επιλογές σας σε snap-update-ns και snap -discard-ns σε αυτόν τον κατάλογο. Όταν εκκινείται από έναν σκληρό σύνδεσμο, το snap-confine ως root θα εκτελέσει τα αρχεία snap-update-ns και snap-discard-ns που έχουν υποκατασταθεί από τον εισβολέα από τον τρέχοντα κατάλογο.
Η επιτυχής εκμετάλλευση αυτής της ευπάθειας επιτρέπει σε κάθε μη προνομιούχο χρήστη να αποκτήσει δικαιώματα root στον ευάλωτο κεντρικό υπολογιστή. Οι ερευνητές ασφάλειας της Qualys κατάφεραν να επαληθεύσουν ανεξάρτητα την ευπάθεια, να αναπτύξουν ένα exploit και να αποκτήσουν πλήρη δικαιώματα root στις προεπιλεγμένες εγκαταστάσεις του Ubuntu.
Μόλις η ερευνητική ομάδα της Qualys επιβεβαίωσε την ευπάθεια, ασχοληθήκαμε με την υπεύθυνη αποκάλυψη ευπάθειας και συντονισθήκαμε με διανομές προμηθευτών και ανοιχτού κώδικα για να ανακοινώσουμε αυτήν την ευπάθεια που ανακαλύφθηκε πρόσφατα.
Η δεύτερη ευπάθεια προκαλείται από μια κατάσταση φυλής και μπορεί να γίνει εκμετάλλευση στην προεπιλεγμένη διαμόρφωση επιφάνειας εργασίας του Ubuntu. Για να λειτουργήσει επιτυχώς το exploit στον Ubuntu Server, πρέπει να επιλέξετε ένα από τα πακέτα από την ενότητα "Featured Server Snaps" κατά την εγκατάσταση.
κατάσταση του αγώνα εμφανίζεται στη συνάρτηση setup_private_mount(). καλείται κατά την προετοιμασία του χώρου ονομάτων του σημείου προσάρτησης για το στιγμιαίο πακέτο. Αυτή η συνάρτηση δημιουργεί έναν προσωρινό κατάλογο "/tmp/snap.$SNAP_NAME/tmp" ή χρησιμοποιεί έναν υπάρχοντα για τη σύνδεση και την προσάρτηση καταλόγων για το πακέτο snap σε αυτόν.
Δεδομένου ότι το όνομα του προσωρινού καταλόγου είναι προβλέψιμο, ένας εισβολέας μπορεί να αλλάξει το περιεχόμενό του σε έναν συμβολικό σύνδεσμο αφού επαληθεύσει τον ιδιοκτήτη, αλλά πριν καλέσει το σύστημα προσάρτησης. Για παράδειγμα, μπορείτε να δημιουργήσετε έναν συμβολικό σύνδεσμο "/tmp/snap.lxd/tmp" στον κατάλογο /tmp/snap.lxd που οδηγεί σε έναν αυθαίρετο κατάλογο και η κλήση mount() θα ακολουθήσει τον συμβολικό σύνδεσμο και θα προσαρτήσει τον κατάλογο στο διάστημα των ονομάτων.
Ομοίως, μπορείτε να προσαρτήσετε τα περιεχόμενά του στο /var/lib και, παρακάμπτοντας το /var/lib/snapd/mount/snap.snap-store.user-fstab, να κανονίσετε να προσαρτήσετε τον κατάλογό σας /etc στον χώρο ονομάτων του πακέτου snap για να φορτώσει τη βιβλιοθήκη σας από την πρόσβαση root αντικαθιστώντας το /etc/ld.so.preload.
Παρατηρείται ότι Η δημιουργία ενός exploit αποδείχθηκε ότι ήταν ένα μη τετριμμένο έργο, δεδομένου ότι το βοηθητικό πρόγραμμα snap-confine είναι γραμμένο με χρήση ασφαλών τεχνικών προγραμματισμού (το snapd είναι γραμμένο στο Go, αλλά το C χρησιμοποιείται για snap-confine), έχει προστασία βάσει προφίλ AppArmor, φιλτράρει κλήσεις συστήματος βάσει του μηχανισμού seccomp και χρησιμοποιεί χώρο ονομάτων προσάρτησης για απομόνωση.
Ωστόσο, οι ερευνητές μπόρεσαν να προετοιμάσουν μια λειτουργική εκμετάλλευση για να αποκτήσετε πρόσβαση root στο σύστημα. Ο κώδικας εκμετάλλευσης θα κυκλοφορήσει λίγες εβδομάδες μετά την εγκατάσταση των παρεχόμενων ενημερώσεων από τους χρήστες.
Τέλος, αξίζει να αναφέρουμε ότιΤα προβλήματα επιλύθηκαν στην ενημέρωση του πακέτου snapd για τις εκδόσεις Ubuntu 21.10, 20.04 και 18.04.
Εκτός από τις άλλες διανομές που κάνουν χρήση του Snap, κυκλοφόρησε το Snapd 2.54.3, το οποίο, εκτός από τα παραπάνω προβλήματα, διορθώνει μια άλλη ευπάθεια (CVE-2021-4120), η οποία επιτρέπει, κατά την εγκατάσταση ειδικά σχεδιασμένων πακέτων πρόσθετων, παρακάμπτουν αυθαίρετους κανόνες AppArmor και παρακάμπτουν τους περιορισμούς πρόσβασης που έχουν οριστεί για το πακέτο.
Αν είστε ενδιαφέρεται να μάθει περισσότερα για αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.