近日名為 Nimbuspwn 的漏洞組合被曝光,可以讓本地攻擊者在 Linux 系統上提升權限,部署從後門到勒索軟件等惡意軟件。微軟的安全研究人員在今天的一份報告中披露了這些問題,並指出它們可以被串聯起來,在一個脆弱的系統上獲得 root 權限。
Nimbuspwn 存在於 networkd-dispatcher 組件,該組件用於在 Linux 設備上發送連接狀態變化,目前已經以 CVE-2022-29799 和 CVE-2022-29800 進行追蹤。
發現這些漏洞是從“監聽系統總線上的消息”開始的,這促使研究人員審查 networkd-dispatcher 的代碼流。微軟研究員Jonathan Bar Or在報告中解釋說,Nimbuspwn 的安全缺陷是指目錄穿越、符號鏈接競賽和檢查時間-使用時間(TOCTOU)競賽條件問題。
一個引起興趣的觀察結果是,networkd-dispatcher守護進程在啟動時以系統的根權限運行。研究人員注意到,該守護進程使用了一種名為”_run_hooks_for_state”的方法,根據檢測到的網絡狀態發現並運行腳本。
它使用名為 subprocess.Popen 的進程運行上述位置的每個腳本,同時提供自定義環境變量。微軟的報告解釋說,”_run_hooks_for_state”有多個安全問題。
● 目錄遍歷(CVE-2022-29799):流程中沒有一個函數對OperationalState或AdministrativeState進行消毒。這些狀態被用來建立腳本路徑,因此一個狀態可能包含目錄遍歷模式(例如”…/…/”),以逃離”/etc/networkd-dispatcher”基本目錄。
● 符號鏈接競賽:腳本發現和subprocess.Popen都遵循符號鏈接。
● 檢查時間-使用時間(TOCTOU)競賽條件(CVE-2022-29800):腳本被發現和它們被運行之間有一定時間。攻擊者可以濫用這個漏洞,將networkd-dispatcher認為由root擁有的腳本替換成不屬於root的腳本。
