Qualys paljastettiin tunnistamani uutiset kaksi haavoittuvuutta (CVE-2021-44731 ja CVE-2021-44730) snap-confine-apuohjelmassa, lähetetään juuri-SUID-lipulla ja jota snapd-prosessi kutsuu luomaan suoritettavan ympäristön snap-paketeissa jaetuille sovelluksille.
Blogitekstissä se mainitaan haavoittuvuudet antavat etuoikeutetulle paikalliselle käyttäjälle koodin suorittamisen pääkäyttäjänä järjestelmässä.
Ensimmäinen haavoittuvuus mahdollistaa fyysisen linkin manipulointihyökkäyksen, mutta vaatii järjestelmän kiintolinkkien suojauksen poistamisen käytöstä (asettamalla sysctl fs.protected_hardlinks arvoon 0).
Ongelma se johtuu suoritettavien tiedostojen sijainnin virheellisestä tarkastuksesta snap-update-ns- ja snap-discard-ns -apuohjelmista jotka toimivat roottina. Näiden tiedostojen polku laskettiin sc_open_snapd_tool()-funktiossa sen oman polun perusteella /proc/self/exe-tiedostosta, jolloin voit luoda kiinteän linkin hakemistoosi rajoittamista varten ja asettaa vaihtoehdot snap-update-ns ja snap. -discard-ns tässä hakemistossa. Kun snap-confine käynnistetään kovasta linkistä, pääkäyttäjänä se suorittaa hyökkääjän korvaamat snap-update-ns- ja snap-discard-ns-tiedostot nykyisestä hakemistosta.
Tämän haavoittuvuuden onnistunut hyödyntäminen mahdollistaa sen, että käyttäjä, jolla ei ole etuoikeuksia, voi saada pääkäyttäjän oikeudet haavoittuvaan isäntään. Qualysin tietoturvatutkijat ovat pystyneet itsenäisesti varmistamaan haavoittuvuuden, kehittämään hyväksikäytön ja saamaan täydet pääkäyttäjän oikeudet Ubuntu-oletusasennuksiin.
Heti kun Qualysin tutkimusryhmä vahvisti haavoittuvuuden, aloitimme vastuullisen haavoittuvuuden paljastamisen ja koordinoimme toimittajan ja avoimen lähdekoodin jakelua ilmoittaaksemme tästä äskettäin löydetystä haavoittuvuudesta.
Toinen haavoittuvuus johtuu kilpailutilanteesta ja sitä voidaan hyödyntää oletusarvoisessa Ubuntu-työpöytäkokoonpanossa. Jotta hyväksikäyttö toimisi onnistuneesti Ubuntu-palvelimella, sinun on valittava jokin paketeista Featured Server Snaps -osiosta asennuksen aikana.
kilpailun kunto ilmenee setup_private_mount()-funktiossa kutsutaan pikapaketin liitoskohdan nimitilan valmistelun aikana. Tämä toiminto luo väliaikaisen hakemiston "/tmp/snap.$SNAP_NAME/tmp" tai käyttää olemassa olevaa hakemistoa linkittämään ja liittämään siihen snap-paketin hakemistoja.
Koska väliaikaisen hakemiston nimi on ennakoitavissa, hyökkääjä voi muuttaa sen sisällön symboliseksi linkiksi tarkistettuaan omistajan, mutta ennen kuin hän kutsuu asennusjärjestelmää. Voit esimerkiksi luoda /tmp/snap.lxd-hakemistoon symlinkin "/tmp/snap.lxd/tmp", joka osoittaa mielivaltaiseen hakemistoon ja mount()-kutsu seuraa symlinkkiä ja liittää hakemiston tilaan. nimistä.
Vastaavasti voit liittää sen sisällön hakemistoon /var/lib ja ohittaa /var/lib/snapd/mount/snap.snap-store.user-fstab, järjestää /etc-hakemiston liittämisen paketin nimiavaruuden snapiin kirjaston lataamiseksi. pääkäyttäjän oikeuksista korvaamalla /etc/ld.so.preload.
On havaittu, että hyväksikäytön luominen osoittautui ei-triviaaliksi tehtäväksi, koska snap-confine-apuohjelma on kirjoitettu turvallisilla ohjelmointitekniikoilla (snapd kirjoitetaan Go-kielellä, mutta C:tä käytetään snap-confinessa), sillä on AppArmor-profiileihin perustuva suojaus, se suodattaa järjestelmäkutsut seccomp-mekanismin perusteella ja käyttää mount-nimiavaruutta. eristäytymistä varten.
Tutkijat pystyivät kuitenkin valmistamaan toiminnallisen hyödyn päästäksesi pääkäyttäjään järjestelmään. Hyödyntämiskoodi julkaistaan muutaman viikon kuluttua siitä, kun käyttäjät asentavat toimitetut päivitykset.
Lopuksi se kannattaa mainitaOngelmat korjattiin snapd-pakettipäivityksessä Ubuntu-versioille 21.10, 20.04 ja 18.04.
Muiden Snapia hyödyntävien jakelujen lisäksi on julkaistu Snapd 2.54.3, joka korjaa yllä olevien ongelmien lisäksi toisen haavoittuvuuden (CVE-2021-4120), joka mahdollistaa erityisesti suunniteltuja laajennuspaketteja asennettaessa ohittaa mielivaltaiset AppArmor-säännöt ja ohittaa paketille asetetut pääsyrajoitukset.
Jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat Seuraavassa linkissä.