Qualys avalikustati uudised, mida ma tuvastan kaks haavatavust (CVE-2021-44731 ja CVE-2021-44730) snap-confine utiliidis, saadetakse koos juur-SUID-lipuga ja mida kutsub snapd-protsess, et luua snap-pakettides levitatavate rakenduste jaoks käivitatav keskkond.
Blogipostituses on seda mainitud haavatavused võimaldavad privilegeerimata kohalikul kasutajal saavutada koodi käivitamise administraatorina süsteemis.
Esimene haavatavus võimaldab füüsilise linki manipuleerimise rünnakut, kuid nõuab süsteemi kõvalinkide kaitse keelamist (määrates sysctl fs.protected_hardlinks väärtuseks 0).
probleem see on tingitud käivitatavate failide asukoha ebaõigest kontrollimisest utiliitidest snap-update-ns ja snap-discard-ns mis töötavad rootina. Nende failide tee arvutati funktsiooni sc_open_snapd_tool() abil, mis põhineb selle enda teedel failist /proc/self/exe, mis võimaldab teil luua kataloogi piiramiseks kõva lingi ja teha valikud snap-update-ns ja snap -discard-ns selles kataloogis. Kõva lingi kaudu käivitamisel käivitab snap-confine administraatorina praegusest kataloogist ründajaga asendatud failid snap-update-ns ja snap-discard-ns.
Selle haavatavuse edukas ärakasutamine võimaldab igal privilegeeritud kasutajal saada haavatavas hostis juurõigused. Qualysi turbeteadlased on suutnud iseseisvalt kontrollida haavatavust, arendada ärakasutamist ja omandada Ubuntu vaikeinstallatsioonide täielikud juurõigused.
Niipea, kui Qualysi uurimismeeskond haavatavust kinnitas, alustasime haavatavuse vastutustundliku avalikustamisega ning tegime koostööd tarnija ja avatud lähtekoodiga distributsioonidega, et teavitada sellest äsja avastatud haavatavusest.
Teine haavatavus on tingitud rassist ja seda saab kasutada Ubuntu töölaua vaikekonfiguratsioonis. Et eksploit Ubuntu serveris edukalt töötaks, peate installimise ajal valima jaotisest „Featured Server Snaps” ühe pakettidest.
rassi seisukord avaldub funktsioonis setup_private_mount(). kutsutakse kiirpaketi ühenduspunkti nimeruumi ettevalmistamisel. See funktsioon loob ajutise kataloogi "/tmp/snap.$SNAP_NAME/tmp" või kasutab olemasolevat kataloogi linkimiseks ja ühendamiseks sellega snap-paketi jaoks.
Kuna ajutise kataloogi nimi on etteaimatav, saab ründaja muuta selle sisu sümboolseks lingiks pärast omaniku kontrollimist, kuid enne ühendamissüsteemi kutsumist. Näiteks saate luua kataloogis /tmp/snap.lxd sümlingi "/tmp/snap.lxd/tmp", mis osutab suvalisele kataloogile ja mount() kutse järgib sümlinki ja ühendab kataloogi ruumi. nimedest.
Samamoodi saate ühendada selle sisu kausta /var/lib ja, alistades /var/lib/snapd/mount/snap.snap-store.user-fstab, korraldada oma teegi laadimiseks oma /etc kataloogi ühendamise paketi nimeruumi snap juurjuurdepääsust, asendades faili /etc/ld.so.preload.
Täheldatakse, et ärakasutamise loomine osutus mittetriviaalseks ülesandeks, kuna utiliit snap-confine on kirjutatud turvaliste programmeerimistehnikate abil (snapd on kirjutatud Go-s, aga C-d kasutatakse snap-confine'i jaoks), sellel on AppArmor profiilidel põhinev kaitse, see filtreerib seccomp-mehhanismi alusel süsteemikutseid ja kasutab mounti nimeruumi isoleerimiseks.
Siiski suutsid teadlased ette valmistada funktsionaalse ärakasutamise süsteemi juurjuurdepääsu saamiseks. Kasutuskood avaldatakse mõni nädal pärast seda, kui kasutajad installivad kaasasolevad värskendused.
Lõpuks tasub seda mainidaProbleemid lahendati snapdi paketi värskendusega Ubuntu versioonide 21.10, 20.04 ja 18.04 jaoks.
Lisaks teistele Snapi kasutavatele distributsioonidele on välja antud Snapd 2.54.3, mis lisaks ülaltoodud probleemidele parandab veel ühe haavatavuse (CVE-2021-4120), mis võimaldab spetsiaalselt loodud pluginapakettide installimisel alistada suvalised AppArmori reeglid ja mööda minna paketile seatud juurdepääsupiirangutest.
Kui olete huvitatud sellest rohkem teada, saate üksikasju kontrollida Järgmisel lingil.