Qualys zbuloi lajmet që identifikoj dy dobësi (CVE-2021-44731 dhe CVE-2021-44730) në programin snap-confine, dërguar me flamurin rrënjë SUID dhe thirrur nga procesi snapd për të gjeneruar një mjedis të ekzekutueshëm për aplikacionet e shpërndara në paketat snap.
Në postimin e blogut përmendet se dobësitë lejojnë një përdorues lokal të paprivilegjuar të arrijë ekzekutimin e kodit si rrënjë në sistem.
Dobësia e parë lejon një sulm fizik të manipulimit të lidhjeve, por kërkon çaktivizimin e mbrojtjes së lidhjeve të forta të sistemit (duke vendosur sysctl fs.protected_hardlinks në 0).
Problemi është për shkak të një verifikimi të gabuar të vendndodhjes së ekzekutivëve e shërbimeve snap-update-ns dhe snap-discard-ns që funksionojnë si rrënjë. Rruga drejt këtyre skedarëve u llogarit në funksionin sc_open_snapd_tool() bazuar në shtegun e tij nga /proc/self/exe, duke ju lejuar të krijoni një lidhje të vështirë për t'u kufizuar në drejtorinë tuaj dhe për të vendosur opsionet tuaja në snap-update-ns dhe snap -discard-ns në këtë direktori. Kur niset nga një lidhje e fortë, snap-confine si root do të ekzekutojë skedarët snap-update-ns dhe snap-discard-ns të zëvendësuara nga sulmuesi nga direktoria aktuale.
Shfrytëzimi i suksesshëm i kësaj dobësie lejon çdo përdorues jo të privilegjuar të fitojë privilegje rrënjësore në hostin e cenueshëm. Studiuesit e sigurisë Qualys kanë qenë në gjendje të verifikojnë në mënyrë të pavarur cenueshmërinë, të zhvillojnë një shfrytëzim dhe të fitojnë privilegje të plota rrënjësore në instalimet e paracaktuara të Ubuntu.
Sapo ekipi hulumtues Qualys konfirmoi cenueshmërinë, ne u angazhuam në zbulimin e përgjegjshëm të cenueshmërisë dhe u koordinuam me shitësit dhe shpërndarjet me burim të hapur për të njoftuar këtë dobësi të zbuluar rishtazi.
Dobësia e dytë shkaktohet nga një gjendje race dhe mund të shfrytëzohet në konfigurimin e paracaktuar të desktopit të Ubuntu. Që shfrytëzimi të funksionojë me sukses në Ubuntu Server, duhet të zgjidhni një nga paketat nga seksioni "Featured Server Snaps" gjatë instalimit.
gjendja e garës manifestohet në funksionin setup_private_mount(). thirrur gjatë përgatitjes së hapësirës së emrave të pikës së montimit për paketën e menjëhershme. Ky funksion krijon një direktori të përkohshme "/tmp/snap.$SNAP_NAME/tmp" ose përdor një ekzistuese për të lidhur dhe montuar drejtoritë për paketën snap me të.
Meqenëse emri i drejtorisë së përkohshme është i parashikueshëm, një sulmues mund të ndryshojë përmbajtjen e tij në një lidhje simbolike pasi të verifikojë pronarin, por përpara se të telefonojë sistemin e montimit. Për shembull, mund të krijoni një lidhje simbolike "/tmp/snap.lxd/tmp" në direktorinë /tmp/snap.lxd që tregon një direktori arbitrare dhe thirrja mount() do të ndjekë lidhjen simptome dhe do ta montojë direktorinë në hapësirë të emrave.
Në mënyrë të ngjashme, mund të montoni përmbajtjen e tij në /var/lib dhe, duke anashkaluar /var/lib/snapd/mount/snap.snap-store.user-fstab, të organizoni montimin e drejtorisë tuaj /etc në snap të hapësirës së emrit të paketës për të ngarkuar bibliotekën tuaj nga qasja rrënjësore duke zëvendësuar /etc/ld.so.preload.
Observedshtë vërejtur se krijimi i një shfrytëzimi doli të ishte një detyrë jo e parëndësishme, meqenëse programi snap-confine është shkruar duke përdorur teknika programimi të sigurta (snapd është shkruar në Go, por C përdoret për snap-confine), ka mbrojtje të bazuar në profilet AppArmor, filtron thirrjet e sistemit bazuar në mekanizmin seccomp dhe përdor një hapësirë emri montimi për izolim.
Megjithatë, studiuesit ishin në gjendje të përgatisnin një shfrytëzim funksional për të fituar akses rrënjësor në sistem. Kodi i shfrytëzimit do të lëshohet disa javë pasi përdoruesit të instalojnë përditësimet e dhëna.
Në fund, vlen të përmendet seProblemet u rregulluan në përditësimin e paketës snapd për versionet e Ubuntu 21.10, 20.04 dhe 18.04.
Përveç shpërndarjeve të tjera që përdorin Snap, është lëshuar edhe Snapd 2.54.3, i cili, përveç problemeve të mësipërme, rregullon një dobësi tjetër (CVE-2021-4120), e cila lejon, kur instaloni paketa shtojcash të krijuara posaçërisht, anashkaloni rregullat arbitrare të AppArmor dhe anashkaloni kufizimet e aksesit të vendosura për paketën.
Dremitje të interesuar të dinë më shumë për të, ju mund të kontrolloni detajet Në lidhjen vijuese.