Куалис представљен вести које идентификујем две рањивости (ЦВЕ-2021-44731 и ЦВЕ-2021-44730) у услужном програму снап-цонфине, послат са роот СУИД заставицом и позван од снапд процеса да генерише извршно окружење за апликације дистрибуиране у снап пакетима.
У блог посту се помиње да рањивости омогућавају непривилегованом локалном кориснику да постигне извршење кода као роот у систему.
Прва рањивост дозвољава напад манипулације физичком везом, али захтева онемогућавање заштите системских тврдих веза (постављањем сисцтл фс.протецтед_хардлинкс на 0).
Проблем то је због нетачне верификације локације извршних датотека услужних програма снап-упдате-нс и снап-дисцард-нс који се покрећу као роот. Путања до ових датотека израчуната је у функцији сц_опен_снапд_тоол() на основу сопствене путање из /проц/селф/еке, што вам омогућава да креирате чврсту везу која ће се ограничити у вашем директоријуму и ставите своје опције на снап-упдате-нс и снап -дисцард-нс у овом директоријуму. Када се покрене са чврсте везе, снап-цонфине као роот ће извршити датотеке снап-упдате-нс и снап-дисцард-нс које је заменио нападач из тренутног директоријума.
Успешно коришћење ове рањивости омогућава сваком кориснику који није привилегован да добије роот привилегије на рањивом хосту. Истраживачи безбедности компаније Куалис су били у могућности да независно верификују рањивост, развију експлоатацију и стекну пуне привилегије роот на подразумеваним инсталацијама Убунту-а.
Чим је Куалис истраживачки тим потврдио рањивост, ангажовали смо се у одговорном откривању рањивости и координирали смо се са добављачима и дистрибуцијама отвореног кода како бисмо објавили ову новооткривену рањивост.
Друга рањивост је узрокована стањем расе и може се користити у подразумеваној конфигурацији Убунту десктопа. Да би експлоатација успешно функционисала на Убунту серверу, морате да изаберете један од пакета из одељка „Истакнути серверски снимци“ током инсталације.
услови трке манифестује се у функцији сетуп_привате_моунт(). позван током припреме именског простора тачке монтирања за тренутни пакет. Ова функција креира привремени директоријум „/тмп/снап.$СНАП_НАМЕ/тмп“ или користи постојећи за повезивање и монтирање директоријума за снап пакет са њим.
Пошто је име привременог директоријума предвидљиво, нападач може да промени његов садржај у симболичку везу након верификације власника, али пре него што позове систем за монтирање. На пример, можете да креирате симболичку везу "/тмп/снап.лкд/тмп" у директоријуму /тмп/снап.лкд који указује на произвољан директоријум и позив моунт() ће пратити симболичку везу и монтирати директоријум у простор од имена.
Слично томе, можете монтирати његов садржај у /вар/либ и, заменити /вар/либ/снапд/моунт/снап.снап-сторе.усер-фстаб, организовати монтирање вашег /етц директоријума у снап именског простора пакета да бисте учитали вашу библиотеку из роот приступа заменом /етц/лд.со.прелоад.
Примећује се да испоставило се да је стварање експлоатације нетривијалан задатак, пошто је услужни програм снап-цонфине написан коришћењем техника безбедног програмирања (снапд је написан у Го, али се Ц користи за снап-цонфине), има заштиту засновану на АппАрмор профилима, филтрира системске позиве на основу механизма сеццомп и користи простор имена за монтирање за изолацију.
Међутим, истраживачи су успели да припреме функционални експлоатацију да добијете роот приступ на систему. Код експлоатације ће бити објављен неколико недеља након што корисници инсталирају обезбеђена ажурирања.
На крају, вреди напоменути и тоПроблеми су отклоњени у ажурирању пакета снапд за Убунту верзије 21.10, 20.04 и 18.04.
Поред осталих дистрибуција које користе Снап, објављен је Снапд 2.54.3, који, поред наведених проблема, поправља још једну рањивост (ЦВЕ-2021-4120), која омогућава да се приликом инсталирања посебно дизајнираних пакета додатака, надјачати произвољна правила АппАрмор и заобићи ограничења приступа постављена за пакет.
Ако јесте заинтересовани да сазнају више о томе, можете проверити детаље У следећем линку.