Μια πρόσφατη ανακάλυψη στον τομέα της κυβερνοασφάλειας αφορά μια νέα ευπάθεια κλιμάκωσης τοπικών προνομίων για τα Linux, γνωστή ως “CIFSwitch”. Αυτή η ευπάθεια επιτρέπει στους χρήστες με περιορισμένα δικαιώματα να αποκτούν πρόσβαση στο λογαριασμό root εκμεταλλευόμενοι ένα λάθος που εντοπίζεται στον πελάτη CIFS του πυρήνα Linux και στο πακέτο cifs-utils που λειτουργεί στο user space.
Η ευπάθεια αποκαλύφθηκε από τον ερευνητή ασφαλείας Asim Manizada, ο οποίος δημοσίευσε λεπτομερείς τεχνικές πληροφορίες και ένα Proof of Concept (PoC) που προορίζεται για τους υπερασπιστές της ασφάλειας, προκειμένου να κατανοήσουν καλύτερα την κατάσταση και να ελέγξουν τις ενημερώσεις κώδικα.
Η ρίζα του προβλήματος εντοπίζεται σε μια ανεπαρκή επικύρωση των περιγραφών κλειδιών στο τύπο κλειδιού CIFs.Spnego, γεγονός που επιτρέπει στους μη προνομιούχους χρήστες να πλαστογραφούν τις αξιόπιστες αιτήσεις του πυρήνα και να ενεργοποιούν προνομιακές λειτουργίες.
Σοβαρή ευπάθεια στον πυρήνα CIFSwitch του Linux
Η ανακάλυψη της ευπάθειας προήλθε από τη χρήση μιας καινοτόμου μεθόδου συλλογισμού που στηρίχθηκε στη βοήθεια της τεχνητής νοημοσύνης. Αυτή η μέθοδος προγραμματίζει και περιγράφει σημασιολογικά γραφήματα που σχετίζονται με την ασφάλεια, διευκολύνοντας την εύρεση και εκμετάλλευση διαδοχικών λογικών σφαλμάτων.
Η ανακοίνωση έγινε έπειτα από ένα συντονισμένο εμπάργκο με τις αυτοδιαχειριζόμενες διανομές Linux και οι απαραίτητες ενημερώσεις του πυρήνα είναι ήδη διαθέσιμες στους χρήστες.
Το πρωτόκολλο CIFS/SMB είναι ευρύτατα χρησιμοποιούμενο για την επικοινωνία συστημάτων αρχείων δικτύου υπό Linux. Στη συγκεκριμένη αρχιτεκτονική, ο πελάτης CIFS του πυρήνα αναλαμβάνει τις βασικές λειτουργίες του συστήματος αρχείων.
Ο έλεγχος για την ταυτοποίηση Kerberos/SPNEGO παρέχεται από τον cifs—upcall, έναν βοηθό χώρου χρηστών με δικαιώματα root που προέρχεται από το cifs-utils.
Η διαδικασία αξιοποιεί τα μπρελόκ του Linux: ο πυρήνας καλεί τη function request_key() για το CIFS. κλειδί spnego, μεταβιβάζοντας μια περίπλοκη περιγραφή που κωδικοποιεί παραμέτρους όπως διακομιστή, UID, PID και στόχους χώρου ονομάτων.
Η πολιτική /sbin/request-key εκκινεί τον cifs—upcall με δικαιώματα root για την επεξεργασία αυτής της αίτησης.
Η διερεύνηση του Manizada αποκάλυψε ότι ο πυρήνας δεν επαλήθευσε αν η περιγραφή του cifs. SPnego προήλθε από το υποσύστημα CIFS, πριν να την αναγνωρίσει ως αξιόπιστη.
Αυτή η παράλειψη δίνει τη δυνατότητα σε οποιαδήποτε διεργασία με περιορισμένα προνόμια να καλεί απευθείας την request_key(“cifs.spnego”, ,…).
Καθώς ο τύπος κλειδιού είναι cifs.spnego, ο κανόνας αιτήματος κλειδιού θα επαναλαμβάνει τη διαδικασία του cifs.upcall ως root, ακόμα και αν η περιγραφή είναι πλήρως ελεγχόμενη από τους εισβολείς.
Η αλυσίδα εκμετάλλευσης βασίζεται σε δύο στοιχεία από αυτή την πλαστή περιγραφή, το pid και το upcall_target.
Με τη ρύθμιση του upcall_target=app και τη διάθεση ενός κακόβουλου pid, ο επιτιθέμενος μπορεί να προκαλέσει το cifs.upcall να εισχωρήσει στους χώρους ονομάτων που ελέγχει, πριν πραγματοποιήσει αναζητήσεις λογαριασμών που βασίζονται στο NSS και τελικά να αποκτήσει δικαιώματα.
Μέσα σε αυτόν τον ελεγχόμενο από τον εισβολέα χώρο ονομάτων, δύναται να τοποθετηθούν κακόβουλοι αρχεία nsswitch.conf και libnss_*.so.2, έτσι ώστε μια αναζήτηση NSS με δικαιώματα root να φορτώνει και να εκτελεί αυθαίρετο κώδικα.
Στο PoC του Manizada, η κακόβουλη λειτουργική μονάδα NSS γράφει μια καταχώρηση στο /etc/sudoers.d, παρέχοντας στον επιτιθέμενο αποτελεσματική πρόσβαση root.
Το υποκείμενο σφάλμα του πυρήνα χρονολογείται από το 2007. Ωστόσο, η επιτυχής εκμετάλλευση απαιτεί πολλές προϋποθέσεις:
- Ένας ευάλωτος πυρήνας.
- Μια συμβατή έκδοση cifs-utils (κυρίως εκδόσεις 6.14+ ή παλαιότερες).
- Δημιουργία χώρου ονομάτων χρήστη χωρίς δικαιώματα.
- Πολιτικές Linux Security Module (LSM), όπως το SELinux ή το AppArmor, να μην εμποδίζουν τη διαδρομή της επίθεσης.
Δοκιμές δείχνουν ότι πολλές κύριες διανομές είναι ευάλωτες εκτός πακέτου, όταν υπάρχει το cifs-utils εγκατεστημένο. Αντίθετα, άλλες απαιτούν την εγκατάσταση του cifs-utils ή τη χαλάρωση προεπιλεγμένων πολιτικών LSM.
Η επιδιόρθωση του πυρήνα προσθέτει ένα άγκιστρο vet_description για το cifs. Τύπος κλειδιού SPNEGO, διασφαλίζοντας ότι οι περιγραφές γίνονται αποδεκτές μόνο όταν το αίτημα υποβάλλεται στο εσωτερικό spnego_cred του πελάτη CIFS, περιορίζοντας ουσιαστικά την πλαστογράφηση από μη προνομιούχους χρήστες.
Συστήνεται επιπλέον σκλήρυνση στα cifs-utils για να διασφαλιστεί ότι το cifs.upcall δεν εμπιστεύεται ζητούμενες περιγραφές ως προερχόμενες από τον πυρήνα.
Ο Asim Manizada έχει δημοσιεύσει πλήρη τεχνική αναφορά (“CIFSwitch”) και το PoC exploit στο GitHub για την υποστήριξη υπερασπιστών και ανταποκριτών περιστατικών στην επαλήθευση των μετριασμών και του κωδικού.
Οι διαχειριστές του συστήματος καλούνται να υιοθετήσουν άμεσα τις ενημερώσεις κώδικα του πυρήνα και να εξετάσουν μέτρα άμυνας σε βάθος, όπως η απενεργοποίηση του CIFS όταν δεν είναι σε χρήση, η αφαίρεση των cifs-utils, και η αυστηροποίηση των κανόνων αιτήματος κλειδιού για το cifs.spnego, περιορίζοντας τη χρήση χώρων ονομάτων από μη προνομιούχους χρήστες.
## Η άποψη του TechNoid.gr
Η ανακάλυψη της ευπάθειας “CIFSwitch” υπογραμμίζει τη σημασία της συνεχούς παρακολούθησης και ενημέρωσης των συστημάτων ασφάλειας, ειδικότερα σε περιβάλλοντα που χρησιμοποιούν Linux. Αυτές οι ευπάθειες μπορούν να έχουν σοβαρές επιπτώσεις για την ασφάλεια των δεδομένων και των υποδομών, αν δεν αντιμετωπιστούν εγκαίρως. Ειδικότερα, η ελληνική αγορά, που στηρίζεται σε μεγάλο βαθμό σε ανοιχτού κώδικα και Linux διανομές, θα πρέπει να αντεπεξέλθει προτού τυχόν εκμεταλλεύσεις θέσουν σε κίνδυνο κρίσιμες υποδομές. Συστήνουμε στους διαχειριστές να λάβουν προληπτικά μέτρα, προκειμένου να εξασφαλίσουν μια ισχυρή ασπίδα προστασίας κατά των δυνητικών επιθέσεων.
