Detectouse unha vulnerabilidade en xterm que leva á execución de código

Vulnerabilidade

Se se explotan, estes fallos poden permitir aos atacantes acceder non autorizados a información confidencial ou xerar problemas en xeral.

Recentemente saíu a noticia atopouse unha vulnerabilidade no emulador de terminal xterm (xa catalogado baixo CVE-2022-45063), o problema permite executar comandos de shell cando se procesan determinadas secuencias de escape no terminal.

Sobre o problema menciónase que débese a un erro no procesamento do código de escape 50 que se usa para establecer ou obter opcións de fonte. Se o tipo de letra solicitado non existe, a operación devolve o nome do tipo de letra especificado na solicitude.

O problema está na secuencia OSC 50, que é para configurar e consultar a fonte. Se unha fonte determinada non existe, non se define, senón unha consulta devolverá o nome definido. Os caracteres de control non poden ser incluído, pero a cadea de resposta pódese rematar con ^G. Leste esencialmente ofrécenos un primitivo para devolver o texto ao terminal e remata con ^G.

Os caracteres de control non se poden inserir directamente no nome, pero a cadea devolta pódese rematar coa secuencia "^G", que en zsh, cando o modo de edición de liña estilo vi está activo, fai que se realice unha operación de expansión da lista, que se pode usar para executar comandos sen premer explícitamente a tecla Intro.

Para un ataque no caso máis sinxelo, abonda con mostrar o contido dun ficheiro especialmente deseñado na pantalla, por exemplo, usando a utilidade cat ou pegando unha liña do portapapeis.

Debian, Red Hat e outros desactivan as operacións de fontes por defecto , pero os usuarios poden volver activalos a través dunha opción ou menú de configuración. Tamén o fai xterm upstream non os desactiva por defecto, polo que algunhas distribucións inclúen a Configuración predeterminada vulnerable.

Para explotar con éxito a vulnerabilidade, o usuario debe usar o shell Zsh co editor de liña de comandos (vi-cmd-mode) cambiado ao modo "vi", que xeralmente non se usa por defecto nas distribucións.

Basicamente, necesitamos:
zsh
modo de edición de liña activa en estilo vi
copia o texto do troiano no portapapeis
pégalo en zsh

Isto pódese facer automaticamente, moitos sitios modifican o texto cando se copia no portapapeis. Así que só uso o búfer de selección, ao que non acceden os navegadores. Só en gtk3 e en ff en particular rompen constantemente por algún motivo, é esgotador.

O problema tampouco aparece cando se configura xterm allowWindowOps=falso ou allowFontOps=falso. Por exemplo, a configuración allowFontOps=falso está configurado en OpenBSD, Debian e RHEL, pero non se aplica por defecto en Arch Linux.

Segundo o rexistro de cambios e a declaración do investigador que identificou o problema, a vulnerabilidade corrixido na versión xterm 375, pero segundo outras fontes, a vulnerabilidade segue manifestándose no xterm 375 de Arch Linux.

Isto significa que para explotar esta vulnerabilidade, o usuario debe ser
usando Zsh no modo de edición de liña vi (normalmente a través de $EDITOR que ten "vi" en
é). Aínda que é algo escuro, isto non é totalmente inaudito.
configuración

Nesa configuración, algo así como:
printf "\e]50;i\$(toque /tmp/hack-like-its-1999)\a\e]50;?\a" > cve-2022-45063
cat cve-2022-45063 # ou outra forma de entregar isto á vítima

Finalmente, como sempre, recoméndase aos usuarios dos sistemas afectados que manteñan os seus sistemas actualizados, xa que como saberedes cando se coñezan as vulnerabilidades de seguridade, os desenvolvedores deben arranxar estes erros, porque se desvela gran parte de como se poden explotar estes erros.

Paga a pena mencionalo As operacións de fontes non están permitidas na configuración predeterminada de xtermo de algunhas distribucións de Linux, polo que non todas as distribucións son propensas a este erro. Os interesados ​​en seguir a publicación de correccións por distribucións poden facelo nestas páxinas: DebianRHELFedoraSUSEUbuntuArch LinuxOpenBSDFreeBSDNetBSD.

Se o estás interesado en saber máis sobre el, podes consultar os detalles Na seguinte ligazón.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.