Qualys atklāts ziņas, kuras es identificēju divas ievainojamības (CVE-2021-44731 un CVE-2021-44730) snap-confine utilītprogrammā, nosūtīts ar saknes SUID karogu un izsaukts snapd procesā, lai ģenerētu izpildāmu vidi lietojumprogrammām, kas izplatītas snap pakotnēs.
Emuāra ierakstā tas ir minēts ievainojamības ļauj nepievilinātam vietējam lietotājam panākt koda izpildi kā root sistēmā.
Pirmā ievainojamība pieļauj fiziskas saites manipulācijas uzbrukumu, taču ir jāatspējo sistēmas cieto saišu aizsardzība (iestatot sysctl fs.protected_hardlinks uz 0).
Problēma tas ir saistīts ar nepareizu izpildāmo failu atrašanās vietas pārbaudi utilītas snap-update-ns un snap-discard-ns kas darbojas kā root. Ceļš uz šiem failiem tika aprēķināts funkcijā sc_open_snapd_tool(), pamatojoties uz tās paša ceļu no /proc/self/exe, ļaujot izveidot cieto saiti, lai ierobežotu jūsu direktoriju, un iestatīt opcijas snap-update-ns un snap. -izmest-ns šajā direktorijā. Palaižot no cietās saites, snap-confine kā root izpildīs uzbrucēja aizstātos snap-update-ns un snap-discard-ns failus no pašreizējā direktorija.
Veiksmīga šīs ievainojamības izmantošana ļauj jebkuram lietotājam bez priviliģētām tiesībām iegūt ievainojamā resursdatora root tiesības. Qualys drošības pētnieki ir spējuši neatkarīgi pārbaudīt ievainojamību, izstrādāt izlietojumu un iegūt pilnas saknes privilēģijas noklusējuma Ubuntu instalācijās.
Tiklīdz Qualys izpētes grupa apstiprināja ievainojamību, mēs iesaistījāmies atbildīgā ievainojamības atklāšanā un sadarbojāmies ar pārdevēju un atvērtā koda izplatīšanu, lai paziņotu par šo jaunatklāto ievainojamību.
Otro ievainojamību izraisa sacensību stāvoklis un to var izmantot noklusējuma Ubuntu darbvirsmas konfigurācijā. Lai ekspluatācija veiksmīgi darbotos Ubuntu serverī, instalēšanas laikā ir jāatlasa viena no pakotnēm sadaļā "Piedāvātie servera snaps".
sacensību stāvoklis izpaužas funkcijā setup_private_mount(). tiek izsaukts tūlītējās pakotnes pievienošanas punkta nosaukumvietas sagatavošanas laikā. Šī funkcija izveido pagaidu direktoriju "/tmp/snap.$SNAP_NAME/tmp" vai izmanto esošu direktoriju, lai ar to saistītu un pievienotu snap pakotnes direktorijus.
Tā kā pagaidu direktorija nosaukums ir paredzams, uzbrucējs var mainīt tā saturu uz simbolisku saiti pēc īpašnieka pārbaudes, bet pirms montēšanas sistēmas izsaukšanas. Piemēram, direktorijā /tmp/snap.lxd varat izveidot simsaiti "/tmp/snap.lxd/tmp", kas norāda uz patvaļīgu direktoriju, un izsaukums mount() sekos simbolsaitei un montēs direktoriju telpā. no vārdiem.
Līdzīgi varat pievienot tā saturu mapē /var/lib un, ignorējot /var/lib/snapd/mount/snap.snap-store.user-fstab, organizēt /etc direktorija pievienošanu pakotnes nosaukumvietas snap, lai ielādētu bibliotēku. no root piekļuves, aizstājot /etc/ld.so.preload.
Tiek novērots, ka ekspluatācijas izveide izrādījās nenozīmīgs uzdevums, jo utilīta snap-confine ir rakstīta, izmantojot drošas programmēšanas metodes (snapd ir rakstīts Go, bet C tiek izmantots snap-confine), tai ir aizsardzība, kuras pamatā ir AppArmor profili, filtrē sistēmas zvanus, pamatojoties uz seccomp mehānismu un izmanto mount nosaukumvietu izolācijai.
Tomēr pētnieki varēja sagatavot funkcionālu izmantošanu lai sistēmai iegūtu root piekļuvi. Ekspluatācijas kods tiks izlaists dažas nedēļas pēc tam, kad lietotāji instalēs nodrošinātos atjauninājumus.
Visbeidzot, ir vērts to pieminētProblēmas tika novērstas snapd pakotnes atjauninājumā Ubuntu versijām 21.10, 20.04 un 18.04.
Papildus citiem izplatījumiem, kas izmanto Snap, ir izlaists Snapd 2.54.3, kas papildus iepriekš minētajām problēmām novērš vēl vienu ievainojamību (CVE-2021-4120), kas ļauj, instalējot īpaši izstrādātas spraudņu pakotnes, ignorēt patvaļīgus AppArmor noteikumus un apiet pakotnei iestatītos piekļuves ierobežojumus.
Ja Jums ir interesē uzzināt vairāk par to, jūs varat pārbaudīt informāciju Šajā saitē.