Л Истраживачи Мицрософт безбедности објавили вест која идентификовали су две рањивости (ЦВЕ-2022-29799, ЦВЕ-2022-29800) у мрежно-диспечерској служби кодног назива Нимбуспвн који дозвољавају непривилегованом кориснику да извршава произвољне команде као роот.
нетворкд-диспатцхер ен користе многе Линук дистрибуције, укључујући Убунту, који користи позадински процес системд-нетворкд за конфигурисање мрежних подешавања и обавља функције сличне НетворкМанагер-диспечеру, односно управља извршавањем скрипте када се промени стање мрежне везе, на пример, користи се за покретање ВПН-а након успостављања главна мрежна веза.
Мицрософт је открио неколико рањивости, заједнички названих Нимбуспвн, које би могле омогућити нападачу да подигне привилегије за рут на многим Линук десктоп крајњим тачкама. Рањивости се могу уланчати да би се добиле роот привилегије на Линук системима, омогућавајући нападачима да примене корисно оптерећење као што је роот бацкдоор и изводе друге злонамерне радње путем произвољног извршавања роот кода. Поред тога, Нимбуспвн рањивости би потенцијално могле да буду искоришћене као вектор за роот приступ од стране софистициранијих претњи, као што су малвер или рансомваре, да би даље утицали на рањиве уређаје.
Открили смо рањивости слушајући поруке на системској магистрали док смо вршили преглед кода и динамичку анализу на услугама које раде као роот, и приметили чудан образац у системској јединици која се зове мрежни диспечер.
Позадински процес повезан са мрежним диспечером се покреће као роот и слуша догађаје преко Д-Бус-а. Услуга системд-нетворкд шаље информације о догађајима у вези са променом стања мрежних веза. Проблем је у томе што корисници који нису привилеговани могу да покрену непостојећи статусни догађај и почну да извршавају вашу скрипту, која ће се покренути као роот.
системд-нетворкд је дизајниран да покреће само скрипте системски контролер који се налази у директоријуму /етц/нетворкд-диспатцхер и није заменљив корисник, али због рањивости (ЦВЕ-2022-29799) било је могуће да је код за руковање путањом датотеке искључен из основног директоријума ограничења и извршавају произвољне скрипте.
Конкретно, приликом формирања путање датотеке до скрипте, коришћене су вредности ОператионалСтате и АдминистратионСтате пренете преко Д-Бус-а, у којима специјални знакови нису избрисани. Нападач би могао да генерише сопствено стање са знаковима „../“ у имену и преусмери позив мрежног диспечера на други директоријум.
Друга рањивост (ЦВЕ-2022-29800) је у вези са стањем трке: Између провере параметара скрипте (у власништву роот) и њеног извршавања, постојао је кратак временски период, довољан да се датотека замени и прескочи провера скрипте у власништву роот-а. Такође, мрежни диспечер није проверавао симболичке везе, чак ни када је извршавао скрипте преко потпроцеса.Попен позива, што је у великој мери поједноставило оркестрацију напада.
Креира се директоријум "/тмп/нимбуспвн" и креира се симболичка веза "/тмп/нимбуспвн/поц.д" која указује на директоријум "/сбин" која се користи за пролазак провере извршних датотека у власништву роот-а.
За извршне датотеке „/сбин“, датотеке са истим именом се креирају у директоријуму „/тмп/нимбуспвн“, на пример, за „/сбин/вгс“ датотеку, креира се извршна датотека „/тмп/нимбуспвн/ вгс“ , у власништву корисника без привилегија, у који се ставља код који нападач жели да изврши.
Д-Бус сигнал се шаље процесу мрежног диспечера са ОператионалСтате постављеним на "../../../тмп/нимбуспвн/поц". Да бисте послали сигнал у именском простору „орг.фреедесктоп.нетворк1“, користили сте могућност да повежете своје контролере са системд-нетворкд, на пример, помоћу гпгв или епмд манипулација, или можете да користите чињеницу да системд-нетворкд није ради подразумевано (на пример, на Линук минт).
По пријему сигнала, Нетворкд-диспатцхер креира листу извршних датотека у власништву роот корисника и доступних у директоријуму "/етц/нетворкд-диспатцхер/../../../тмп/нимбуспвн/поц.д", што се заправо односи на "/сбин".
Чим је примљена листа датотека, али скрипта још није извршена, симболичка веза се преусмерава са „/тмп/нимбуспвн/поц.д“ на „/тмп/нимбуспвн“ и мрежни диспечер ће се извршити као корен. скрипта коју је поставио нападач.
Проблем поправљено у издању нетворкд-диспатцхер 2.2, иако нема информација о издавању ажурирања по дистрибуцијама.
Коначно ако сте заинтересовани да сазнате више о томе, можете проверити детаље У следећем линку.
Речено је хиљаду и један пут: системд је смеће. Сувишан, лоше дизајниран, преоптерећен, склон грешкама. Штета што је уграђен у моју омиљену дистрибуцију (дебиан)