क्वालिस का अनावरण समाचार जो मैं पहचानता हूँ दो कमजोरियां (सीवीई-2021-44731 और सीवीई-2021-44730) स्नैप-सीमित उपयोगिता में, रूट SUID फ्लैग के साथ भेजा जाता है और स्नैप पैकेज में वितरित अनुप्रयोगों के लिए एक निष्पादन योग्य वातावरण उत्पन्न करने के लिए स्नैपड प्रक्रिया द्वारा बुलाया जाता है।
ब्लॉग पोस्ट में यह उल्लेख किया गया है कि कमजोरियां एक गैर-विशेषाधिकार प्राप्त स्थानीय उपयोगकर्ता को रूट के रूप में कोड निष्पादन प्राप्त करने की अनुमति देती हैं प्रणाली में।
पहली भेद्यता एक भौतिक लिंक हेरफेर हमले की अनुमति देती है, लेकिन सिस्टम हार्डलिंक सुरक्षा को अक्षम करने की आवश्यकता है (sysctl fs.protected_hardlinks को 0 पर सेट करके)।
समस्या यह निष्पादन योग्य के स्थान के गलत सत्यापन के कारण है स्नैप-अपडेट-एनएस और स्नैप-डिस्कार्ड-एनएस उपयोगिताओं के बारे में जो रूट के रूप में चलता है। इन फ़ाइलों के पथ की गणना sc_open_snapd_tool() फ़ंक्शन में /proc/self/exe से अपने स्वयं के पथ के आधार पर की गई थी, जिससे आप अपनी निर्देशिका में सीमित करने के लिए एक हार्ड लिंक बना सकते हैं और अपने विकल्पों को स्नैप-अपडेट-एनएस और स्नैप में डाल सकते हैं। इस निर्देशिका में -discard-ns। जब एक हार्ड लिंक से लॉन्च किया जाता है, तो स्नैप-कॉन्फाइन रूट के रूप में वर्तमान निर्देशिका से हमलावर-प्रतिस्थापित स्नैप-अपडेट-एनएस और स्नैप-डिस्कार्ड-एनएस फाइलों को निष्पादित करेगा।
इस भेद्यता का सफल शोषण किसी भी गैर-विशेषाधिकार प्राप्त उपयोगकर्ता को कमजोर मेजबान पर रूट विशेषाधिकार प्राप्त करने की अनुमति देता है। क्वालिस सुरक्षा शोधकर्ता स्वतंत्र रूप से भेद्यता को सत्यापित करने, एक शोषण विकसित करने और डिफ़ॉल्ट उबंटू इंस्टॉलेशन पर पूर्ण रूट विशेषाधिकार प्राप्त करने में सक्षम हैं।
जैसे ही क्वालिस की शोध टीम ने भेद्यता की पुष्टि की, हम जिम्मेदार भेद्यता प्रकटीकरण में लगे और इस नई खोजी गई भेद्यता की घोषणा करने के लिए विक्रेता और खुले स्रोत वितरण के साथ समन्वय किया।
दूसरी भेद्यता दौड़ की स्थिति के कारण होती है और डिफ़ॉल्ट उबंटू डेस्कटॉप कॉन्फ़िगरेशन में शोषण किया जा सकता है। उबंटू सर्वर पर सफलतापूर्वक काम करने के लिए शोषण के लिए, आपको इंस्टॉलेशन के दौरान "फीचर्ड सर्वर स्नैप्स" सेक्शन में से एक पैकेज का चयन करना होगा।
दौड़ की स्थिति setup_private_mount() फ़ंक्शन में प्रकट होता है तत्काल पैकेज के लिए आरोह बिंदु नाम स्थान की तैयारी के दौरान कहा जाता है। यह फ़ंक्शन एक अस्थायी निर्देशिका बनाता है "/tmp/snap.$SNAP_NAME/tmp" या स्नैप पैकेज के लिए निर्देशिकाओं को जोड़ने और माउंट करने के लिए मौजूदा एक का उपयोग करता है।
चूंकि अस्थायी निर्देशिका का नाम पूर्वानुमेय है, एक हमलावर मालिक को सत्यापित करने के बाद, लेकिन माउंट सिस्टम को कॉल करने से पहले इसकी सामग्री को एक प्रतीकात्मक लिंक में बदल सकता है। उदाहरण के लिए, आप /tmp/snap.lxd निर्देशिका में एक सिमलिंक "/tmp/snap.lxd/tmp" बना सकते हैं जो एक मनमानी निर्देशिका को इंगित करता है और माउंट() कॉल सिमलिंक का पालन करेगा और निर्देशिका को अंतरिक्ष में माउंट करेगा नामों की।
इसी तरह, आप इसकी सामग्री को /var/lib में माउंट कर सकते हैं और /var/lib/snapd/mount/snap.snap-store.user-fstab को ओवरराइड कर सकते हैं, अपनी लाइब्रेरी को लोड करने के लिए पैकेज नेमस्पेस स्नैप में अपनी /etc निर्देशिका को माउंट करने की व्यवस्था कर सकते हैं। /etc/ld.so.preload को बदलकर रूट एक्सेस से।
यह देखा गया है कि एक शोषण बनाना एक गैर-तुच्छ कार्य बन गया, चूंकि स्नैप-कॉन्फ़ाइन उपयोगिता सुरक्षित प्रोग्रामिंग तकनीकों का उपयोग करके लिखी गई है (स्नैपड गो में लिखा गया है, लेकिन सी स्नैप-कॉन्फ़िन के लिए उपयोग किया जाता है), ऐपआर्मर प्रोफाइल के आधार पर सुरक्षा है, सेककॉम्प तंत्र के आधार पर सिस्टम कॉल को फ़िल्टर करता है और माउंट नेमस्पेस का उपयोग करता है अलगाव के लिए।
हालांकि, शोधकर्ता एक कार्यात्मक शोषण तैयार करने में सक्षम थे सिस्टम पर रूट एक्सेस हासिल करने के लिए। उपयोगकर्ताओं द्वारा प्रदत्त अद्यतनों को स्थापित करने के कुछ सप्ताह बाद शोषण कोड जारी किया जाएगा।
अंत में, यह उल्लेखनीय है किSnapd पैकेज अपडेट में समस्याओं का समाधान किया गया था उबंटू संस्करण 21.10, 20.04 और 18.04 के लिए।
स्नैप का उपयोग करने वाले अन्य वितरणों के अलावा, स्नैपडी 2.54.3 जारी किया गया है, जो उपरोक्त समस्याओं के अलावा, एक और भेद्यता (सीवीई-2021-4120) को ठीक करता है, जो विशेष रूप से डिज़ाइन किए गए प्लगइन पैकेज स्थापित करते समय अनुमति देता है, मनमाने ढंग से AppArmor नियमों को ओवरराइड करें और पैकेज के लिए निर्धारित एक्सेस प्रतिबंधों को बायपास करें।
अगर तुम हो इसके बारे में और जानने में दिलचस्पी है, आप विवरण देख सकते हैं निम्नलिखित लिंक में