Prije nekoliko dana, iNajavili su Qualysovi istraživači putem mailing lista izvještaj o otkriće tri metode za zaobilaženje ograničenja pristup korisnički prostor imena u Ubuntu.
Počevši od verzije 23.10, Ubuntu je uveo dodatni sloj sigurnosti kako bi spriječio neprivilegovane korisnike da kreiraju korisničke prostore imena, što je mjera namijenjena ublažavanju sigurnosnih rizika.
Iako pristup ovim prostorima sam po sebi nije ranjivost, njihova upotreba može izložiti podsisteme kernela potencijalnim napadima, posebno u izolovanim okruženjima kao što su kontejneri ili sandboxovi pretraživača.
Otkrili smo tri različita načina da zaobiđemo ova neprivilegirana ograničenja korisničkog prostora imena; Svaki od njih omogućava lokalnom napadaču da kreira korisničke prostore imena s punim administratorskim sposobnostima i tako iskoristi ranjivosti u komponentama kernela koje zahtijevaju mogućnosti kao što su CAP_SYS_ADMIN ili CAP_NET_ADMIN
Važnost imenskih prostora u Linuxu
Imenski prostori omogućavaju različitim procesima za upravljanje resursima samostalno, izolacija okruženja bez uplitanja u druge procese. Korisnički prostor imena dozvoljava neprivilegiranim procesima da pristupe podsistemima kernela koji obično zahtijevaju povišene dozvole.
problem leži u tome mnogi podsistemi kernel su dizajnirani pod pretpostavkom da će pristup imati samo root korisnik. Sa uvođenjem korisničkih imenskih prostora, ranjivosti koje obični korisnici ranije nisu mogli iskoristiti sada se mogu iskoristiti za dobijanje privilegovanog pristupa sistemu.
Otkrivene metode za izbjegavanje ograničenja
Što se tiče nedostataka koje su otkrili Qualysovi istraživači, oni spominju da su identificirali tri načina na koja neprivilegirani napadač može kreirati korisnički prostor imena s povišenim dozvolama na Ubuntu, budući da Prvi od njih je upotreba uslužnog programa aa-exec.
Spominje se da je alat aa-exec, uključen u bazu Ubuntu, Omogućava vam da primijenite AppArmor profile na proizvoljne procese. Ovo omogućava napadaču da ga koristi za usvajanje profila koji omogućavaju pristup korisničkim imenskim prostorima, kao što su Chrome, Flatpak i Trinity.
Drugi neuspjeh Ono što su istraživači otkrili jeste uz upotrebu busyboxa. I uslužni program busybox (prisutan po defaultu u Ubuntu) ima AppArmor profil koji vam omogućava da kreirate korisničke prostore imena. Napadač može pokrenuti ljusku iz busyboxa, a zatim koristiti unshare da stvori izolirano okruženje s povišenim dozvolama.
Treći i poslednji neuspeh otkriveno je koristeći varijablu okruženja LD_PRELOAD. Ovo omogućava napadaču da ubaci sopstvenu biblioteku u bilo koji program koji ima AppArmor profil sa pristupom korisničkim imenskim prostorima. Primjer za to je Nautilus, program sa takvim privilegijama.
Mjere ublažavanja
Kako bi spriječili iskorištavanje ovih ranjivosti, Ubuntu programeri preporučuju sljedeće radnje:
Ograničenje aa-exec
Ovo sprječava neprivilegirane korisnike da proizvoljno mijenjaju AppArmor profile. Ovo se može uraditi pokretanjem sljedeće naredbe:
sysctl kernel.apparmor_restrict_unprivileged_unconfined=1
Onemogućite problematične AppArmor profile
Ako ne trebate koristiti busybox s pristupom imenskom prostoru ili generirati sličice u Nautilusu, možete onemogućiti njihove AppArmor profile.
Provjerite koji programi imaju dozvole za kreiranje imenskih prostora
Ovo vam omogućava da identifikujete druge instalirane aplikacije sa sličnim dozvolama.
Mjere zaštite
Na kraju, vrijedno je spomenuti da je Ubuntu, kako bi smanjio ovu površinu napada, usvojio hibridni model koji ograničava kreiranje korisničkih imenskih prostora, pri čemu samo određeni programi mogu da ih kreiraju ako ispunjavaju sljedeće uslove:
- Imaju AppArmor profil sa eksplicitnim pravilima koja to dozvoljavaju.
- Imaju CAP_SYS_ADMIN prava, što im daje administrativne privilegije.
Ovo pruža ravnotežu između sigurnosti i funkcionalnosti, omogućavajući korištenje sandboxova u odabranim aplikacijama bez izlaganja cijelog sistema nepotrebnim rizicima.
Naps zainteresovani da saznaju više o tome, možete provjeriti detalje Na sledećem linku.