Недавно су објавили вест да идентификована је рањивост (већ наведен под ЦВЕ-2022-31214) у Фирејаил алату за сандбок апликације, детаљно је описано да би откривени недостатак могао омогућити локалном кориснику да постане роот на хост систему.
Фирејаил користи механизам именских простора, АппАрмор и филтрирање системских позива (сеццомп-бпф) у Линуку за изолацију, али захтева повишене привилегије да би конфигурисао изоловано издање, које добија повезивањем са услужним програмом суид роот флаг или покретањем са судо.
Рањивост је последица грешке у логици опције „–јоин=“. », дизајниран за повезивање са изолованим окружењем које је већ покренуто (слично команди за пријаву за окружење сандбок-а) са окружењем дефинисаним ИД-ом процеса који се у њему изводи. У фази пре покретања, фирејаил детектује привилегије наведеног процеса и примењује их на нови процес који се придружује окружењу помоћу опције „–јоин“.
Пре повезивања, проверава да ли је наведени процес покренут у фирејаил окружењу. Ова провера процењује постојање /рун/фирејаил/мнт/јоин датотеке. Да би се искористила рањивост, нападач може симулирати фиктивно неизоловано окружење ватрогасног затвора користећи простор имена моунт, а затим се повезујете са њим помоћу опције „–јоин“.
Ако конфигурација не омогући режим забране добијања додатних привилегија у новим процесима (прцтл НО_НЕВ_ПРИВС), фирејаил ће повезати корисника са фиктивним окружењем и покушати да примени конфигурацију корисничког именског простора идентификатора корисника (корисника простора имена) инит процеса ( ПИД 1).
Већина логике која стоји иза функције придруживања је у изворном коду из датотеке `срц/фирејаил/јоин.ц`. Критични делови кода се извршавају са повишене привилегије (ефикасни УИД 0). ИД процеса је прошао као команда аргумент линије се проверава да би се утврдило да ли је рконтејнера и одредити нека његова својства која То се такође односи на нови процес уласка.
Главни критеријуми за одлучивање да ли се придружити циљном процесу успешно је присуство датотеке у именском простору за монтирање циља, процес пронађен у /рун/фирејаил/мнт/јоин. Ова верификација се врши на ффункција `ис_реади_фор_јоин()`. Датотека се отвара помоћу лОзнаке `О_РДОНЛИ|О_ЦЛОЕКСЕЦ` и резултат трага `фстат()` би требало да испуњавају следеће услове:
– датотека мора бити нормална датотека.
– датотека мора бити власништво корисника ИД 0 (као што се види од почетног корисника
именски простор).
– датотека мора бити величине 1 бајт.
Као резултат, процес повезан преко "фирејаил --јоин" ће завршити у именском простору оригинални кориснички ИД корисника са непромењеним привилегијама, али у другом простору тачке монтирања, потпуно контролисан од стране нападача.
Резултирајућа „придружена“ шкољка ће сада живети на почетном кориснику
именски простор, ипак задржавајући оригиналне нормалне корисничке привилегије простор имена моунт ће бити онај који контролише нападач. Као
конфигурација ноневпривс није примењена, нападач сада може
покрените сетуид-роот програме у оквиру овог именског простора за монтирање
Конкретно, нападач може да покрене сетуид-роот програме у простору тачке монтирања коју је креирао, дозвољавајући му да, на пример, промени /етц/судоерс конфигурацију или ПАМ параметре у својој хијерархији датотека и добије могућност да покреће команде као роот користећи судо или његове услужне програме.
На крају, вреди напоменути да је развијен функционални експлоат, тестиран на тренутним верзијама опенСУСЕ, Дебиан, Арцх, Гентоо и Федора са инсталираним фирејаил услужним програмом.
Проблем је решен у фирејаил верзији 0.9.70. Као безбедносну исправку, можете да подесите конфигурацију (/етц/фирејаил/фирејаил.цонфиг) на „но јоин“ и „форце-ноневпривс иес“.
Коначно ако сте заинтересовани да сазнате више о томе, детаље можете погледати у следећи линк.