Recommended
More Related Content
What's hot
What's hot (20)
Similar to CVE-2021-3156 Baron samedit (sudoの脆弱性)
Similar to CVE-2021-3156 Baron samedit (sudoの脆弱性) (20)
More from Tetsuya Hasegawa
More from Tetsuya Hasegawa (20)
CVE-2021-3156 Baron samedit (sudoの脆弱性)
- 2. 2 /11 セキュア製品を作るための啓蒙として、 製品に関係する脆弱性が報告されたら紹介します。 オープンNWと接続する製品の開発が今後増えていく。 DevSecOpsで攻めのセキュリティをやろう。 情報ソース 6のエクスプロイトの探し方が参考になる。 1. https://nvd.nist.gov/ 2. https://cve.mitre.org/ 3. https://www.exploit-db.com/ 4. https://cxsecurity.com/wlb/ 5. https://cwe.mitre.org/ 6. https://www.qualys.com/2021/01/26/cve-2021- 3156/baron-samedit-heap-based-overflow-sudo.txt
- 3. 3 /11 概要 ◦ 1.9.5p2より前のsudoにはバッファオーバーフローの脆弱性ある。 "sudoedit –s"を使うと特権昇格(*)が可能。特にやばいのは1.9.4。 (*)rootになれるということ 世の中の動向 ◦ 既にPoC(Proof of Concept code)は出回っているため、 脆弱性のあるsudoが入っているシステムに侵入できたら 場合によっては比較的容易にrootになれてしまう! 確認方法 ◦ sudoedit -s '' `perl -e 'print "A" x 65536'` を実行してコアダンプしたら脆弱性のあるsudo。 影響ある場合の対応 ◦ sudoedit削除、sudo無効化、sudoのバージョンアップ
- 4. 4 /11 -------------------------------------------------------------------- 571 if (ISSET(mode, MODE_RUN) && ISSET(flags, MODE_SHELL)) { 572 char **av, *cmnd = NULL; 573 int ac = 1; ... 581 cmnd = dst = reallocarray(NULL, cmnd_size, 2); ... 587 for (av = argv; *av != NULL; av++) { ★②:全てのコマンドライン引数を連結する 588 for (src = *av; *src != '0'; src++) { 589 /* quote potential meta characters */ 590 if (!isalnum((unsigned char)*src) && *src != '_' && *src != '-' && *src != '$') ★②-1:エスケープする 591 *dst++ = ''; 592 *dst++ = *src; 593 } 594 *dst++ = ' '; 595 } ... 600 ac += 2; /* -c cmnd */ ... 603 av = reallocarray(NULL, ac + 1, sizeof(char *)); ... 609 av[0] = (char *)user_details.shell; /* plugin may override shell */ ★①:argvの書き換えをする 610 if (cmnd != NULL) { 611 av[1] = "-c"; 612 av[2] = cmnd; 613 } 614 av[ac] = NULL; 615 616 argv = av; 617 argc = ac; 618 }
- 5. 5 /11 コマンドライン引数avをuser_argsに連結しつつエスケープは解除する。 -------------------------------------------------------------- 819 if (sudo_mode & (MODE_RUN | MODE_EDIT | MODE_CHECK)) { ... 852 for (size = 0, av = NewArgv + 1; *av; av++) 853 size += strlen(*av) + 1; 854 if (size == 0 || (user_args = malloc(size)) == NULL) { ... 857 } 858 if (ISSET(sudo_mode, MODE_SHELL|MODE_LOGIN_SHELL)) { ... ★③:user_argsにavを連結 864 for (to = user_args, av = NewArgv + 1; (from = *av); av++) { 865 while (*from) { 866 if (from[0] == '' && !isspace((unsigned char)from[1])) 867 from++; ★エスケープ解除 868 *to++ = *from++; 869 } 870 *to++ = ' '; 871 } ... 884 } ... 886 } --------------------------------------------------------------------- コマンドライン引数がで終わっている場合、 866 from[0] = , from[1] = '0'、 867 from++され、868 usr_args=from[1], fromがオーバーフローする。 865のwhileの条件を満たす間user_argsに範囲外のデータがコピーされ続ける。 上記全てのルートを通る条件はフラグ等の関係でsudoeditのみ。sudoは通らない。
- 6. 6 /11 CWE-787: Out-of-bounds Write かな。 ◦ https://cwe.mitre.org/data/definitions/787.html 昔からよくある脆弱性なので対策とかもよくある。
- 7. 7 /11 CVSSスコアは7.8 PRがLow、AVがローカルなので低くなっている。 ただし、システムへのアクセスが可能でsudoが一般ユーザーでも使えるならPR はNoneでSVはNWなのでスコアは上がる。 https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2021- 3156&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1 Attack Vector (AV)* Local : ローカルアクセスが必要。 Attack Complexity (AC)* Low : 対象コンポーネントを常に攻撃可能。 Privileges Required (PR)* Low : 基本的な権限があればよい。 User Interaction (UI)* None : ユーザーが何もしなくて攻撃される。 Scope (S)* Unchanged : 影響範囲は限られる。 Confidentiality Impact (C)* High : 情報漏えいになる。 Integrity Impact (I)* High : 改ざんが可能。 Availability Impact (A)* High :可用性への影響がある。
- 8. 8 /11 https://github.com/blasty/CVE-2021-3156 ◦ 2つめ攻撃手法 「struct service_user overwrite」を使うPoC。 rootになれた!
- 9. 9 /11 sudoeditに渡す引数をいろいろ変えることでuser_argsバッファを自由に操作でき、破壊するメモリ位置、サイズを変更できる。 いろいろ試すと下記のようなSIGSEGVが発生した。 ------------------------------------------------------------------------ Program received signal SIGSEGV, Segmentation fault. 0x00007f6bf9c294ee in nss_load_library (ni=ni@entry=0x55cf1a1dd040) at nsswitch.c:344 => 0x7f6bf9c294ee <nss_load_library+46>: cmpq $0x0,0x8(%rbx) rbx 0x41414141414141 18367622009667905 ------------------------------------------------------------------------ High Address Low Address 引数、環境変数 スタック ↓ ↑ ヒープ(user_args buffer) BSS、TEXT
- 10. 10 /11 service_userのメンバーであるlibraryを上書きしたため、glibcの動的にライブラリを読み込む関数nss_load_library()が 334行目でクラッシュしたようだ。 service_userは簡単に書き換えられる。 ------------------------------------------------------------------------ 327 static int 328 nss_load_library (service_user *ni) 329 { 330 if (ni->library == NULL) 331 { ... 338 ni->library = nss_new_service (service_table ?: &default_table, 339 ni->name); ... 342 } 343 344 if (ni->library->lib_handle == NULL) ★SIGSEGV 345 { 346 /* Load the shared library. */ 347 size_t shlen = (7 + strlen (ni->name) + 3 348 + strlen (__nss_shlib_revision) + 1); 349 int saved_errno = errno; 350 char shlib_name[shlen]; 351 352 /* Construct shared object name. */ 353 __stpcpy (__stpcpy (__stpcpy (__stpcpy (shlib_name, 354 "libnss_"), 355 ni->name), 356 ".so"),
- 11. 11 /11 ① ni-libraryをNULLポインタで上書きして、330行目のブロックに入る。そうすることで334行目でクラッシュを回避できる。 ② ni->nameを攻撃用の共有ライブラリ名で置き換える。 ③ 359行目でカレントディレクトリから攻撃用のライブラリをロードされ、rootとしてinit_()が実行される。 攻撃用ライブラリ名: ./libnss_X/POP_SH3LLZ_ .so.2 引数:sudoedit –s A...56個...A B...54個... ...63個... X/POP_SH3LLZ_ LC_ALL=C.UTF-8@C...214個... いろいろ微調整が必要。 ------------------------------------------------------------------------ 327 static int 328 nss_load_library (service_user *ni) 329 { 330 if (ni->library == NULL) ★①クラッシュ回避 331 { ... 338 ni->library = nss_new_service (service_table ?: &default_table, 339 ni->name); ... 342 } 343 344 if (ni->library->lib_handle == NULL) 345 { 346 /* Load the shared library. */ 347 size_t shlen = (7 + strlen (ni->name) + 3 348 + strlen (__nss_shlib_revision) + 1); 349 int saved_errno = errno; 350 char shlib_name[shlen]; 351 352 /* Construct shared object name. */ 353 __stpcpy (__stpcpy (__stpcpy (__stpcpy (shlib_name,