Qualys onthuld het nieuws dat ik herken twee kwetsbaarheden (CVE-2021-44731 en CVE-2021-44730) in het hulpprogramma snap-confine, verzonden met de root SUID-vlag en aangeroepen door het snapd-proces om een uitvoerbare omgeving te genereren voor toepassingen die in snap-pakketten worden gedistribueerd.
In de blogpost wordt vermeld dat kwetsbaarheden stellen een onbevoegde lokale gebruiker in staat om code-uitvoering als root te bereiken in het systeem.
De eerste kwetsbaarheid maakt een fysieke linkmanipulatie-aanval mogelijk, maar vereist het uitschakelen van systeemhardlinks-beveiliging (door sysctl fs.protected_hardlinks in te stellen op 0).
Het probleem het is te wijten aan een onjuiste verificatie van de locatie van de uitvoerbare bestanden van de hulpprogramma's snap-update-ns en snap-discard-ns die als root draaien. Het pad naar deze bestanden is berekend in de functie sc_open_snapd_tool() op basis van zijn eigen pad vanuit /proc/self/exe, waardoor je een harde link kunt maken om je directory in te sluiten en je opties op snap-update-ns en snap te zetten -discard-ns in deze map. Wanneer gestart vanaf een harde link, zal snap-confine as root de door de aanvaller vervangen snap-update-ns en snap-discard-ns bestanden uit de huidige map uitvoeren.
Succesvol misbruik van dit beveiligingslek stelt elke niet-bevoorrechte gebruiker in staat rootrechten te verkrijgen op de kwetsbare host. De beveiligingsonderzoekers van Qualys zijn in staat geweest om de kwetsbaarheid onafhankelijk te verifiëren, een exploit te ontwikkelen en volledige rootrechten te verkrijgen op standaard Ubuntu-installaties.
Zodra het onderzoeksteam van Qualys de kwetsbaarheid bevestigde, hebben we ons ingezet voor verantwoorde openbaarmaking van kwetsbaarheden en hebben we gecoördineerd met leveranciers en open source-distributies om deze nieuw ontdekte kwetsbaarheid aan te kondigen.
De tweede kwetsbaarheid wordt veroorzaakt door een raceconditie en kan worden misbruikt in de standaard Ubuntu-desktopconfiguratie. Om de exploit succesvol te laten werken op Ubuntu Server, moet u tijdens de installatie een van de pakketten selecteren in de sectie "Featured Server Snaps".
race conditie manifesteert in de setup_private_mount() functie aangeroepen tijdens de voorbereiding van de naamruimte van het aankoppelpunt voor het instant-pakket. Deze functie maakt een tijdelijke map "/tmp/snap.$SNAP_NAME/tmp" of gebruikt een bestaande om mappen voor het snappakket eraan te koppelen en te mounten.
Aangezien de naam van de tijdelijke map voorspelbaar is, kan een aanvaller de inhoud ervan wijzigen in een symbolische link nadat hij de eigenaar heeft geverifieerd, maar voordat hij het mount-systeem heeft aangeroepen. U kunt bijvoorbeeld een symlink "/tmp/snap.lxd/tmp" maken in de /tmp/snap.lxd-map die naar een willekeurige map verwijst en de mount()-aanroep zal de symlink volgen en de map in de ruimte aankoppelen van namen.
Op dezelfde manier kunt u de inhoud ervan koppelen in /var/lib en, met voorrang aan /var/lib/snapd/mount/snap.snap-store.user-fstab, ervoor zorgen dat uw /etc-map in de pakketnaamruimte-snap wordt gemount om uw bibliotheek te laden van root-toegang door /etc/ld.so.preload te vervangen.
Opgemerkt wordt dat het maken van een exploit bleek een niet-triviale taak, aangezien het hulpprogramma snap-confine is geschreven met behulp van veilige programmeertechnieken (snapd is geschreven in Go, maar C wordt gebruikt voor snap-confine), bescherming heeft op basis van AppArmor-profielen, systeemaanroepen filtert op basis van het seccomp-mechanisme en een mount-naamruimte gebruikt voor isolatie.
De onderzoekers waren echter in staat om een functionele exploit voor te bereiden om root-toegang op het systeem te krijgen. De exploitcode wordt een paar weken nadat gebruikers de verstrekte updates hebben geïnstalleerd, vrijgegeven.
Tot slot is het vermeldenswaard datDe problemen zijn opgelost in de update van het snapd-pakket voor Ubuntu-versies 21.10, 20.04 en 18.04.
Naast de andere distributies die gebruik maken van Snap, is Snapd 2.54.3 uitgebracht, dat, naast de bovengenoemde problemen, een andere kwetsbaarheid verhelpt (CVE-2021-4120), waardoor bij het installeren van speciaal ontworpen plug-inpakketten, overschrijf willekeurige AppArmor-regels en omzeil de toegangsbeperkingen die voor het pakket zijn ingesteld.
Wanneer je geïnteresseerd om er meer over te weten, u kunt de details controleren In de volgende link.