Polkitpkexec本地特权提升漏洞(CVE-2021-4034)
简介
Qualys 研究团队在 polkit (原名PolicyKit)的 pkexec 中发现了⼀个本地特权提升漏洞,该SUID-root程序默认安装在每个主要的Linux 发⾏版上。该漏洞允许任何⾮特权⽤户通过在Linux默认配置中利⽤此漏洞来获得易受攻击主机的完全root权限。
关于 Polkit pkexec for Linux
Polkit(原名PolicyKit)是⼀个⽤于在类 Unix 操作系统中控制系统范围权限的组件。它为⾮特权进程与特权进程通信提供了⼀种有组织的⽅式。还可以使⽤polkit以提升的权限执⾏命令,先使⽤命令pkexec,然后是要执⾏的命令(具有root权限)。
PwnKit 漏洞的潜在影响
成功利⽤此漏洞允许任何⾮特权⽤户在易受攻击的主机上获得root特权。Qualys安全研究⼈员已经能够独⽴验证漏洞,开发漏洞利⽤,并在默认安装的Ubuntu、Debian、Fedora和CentOS上获得完整的root权限。其他Linux发⾏版可能容易受到攻击并且可能被利⽤。这个漏洞已经隐藏了12年多,并影响到⽬前为⽌所有版本的pkexec。(≤0.120)
漏洞披露时间表
2021-11-18:咨询发送⾄ secalert@redhat。
2022-01-11:咨询和补丁发送到 distros@openwall。
2022-01-25:协调发布⽇期(世界标准时间下午 5:00)。
漏洞分析
在下载0.120版本的源码,查看src/programs/pkexec.c⽂件。部分代码如下:
435 main (int argc, char *argv[])
436 {
...
534  for (n = 1; n < (guint) argc; n++)
535    {
.
..
568    }
...
610  path = g_strdup (argv[n]);
...
629  if (path[0] != '/')
630    {
...
632      s = g_find_program_in_path (path);
...
639      argv[n] = path = s;
640    }
在第 534-568 ⾏,pkexec的main函数处理命令⾏参数,在第 610-640 ⾏,pkexec在 PATH 环境变量的⽬录中搜索要执⾏的程序,如果其路径不是绝对路径,argv[n] = path = s。不幸的是,如果命令⾏参数argc的数量为0,那么:
在第 534 ⾏,整数n永久设置为1;
在第 610 ⾏,从argv[1]越界读取指针路径;
在第 639 ⾏,指针s被越界写⼊argv[1]。
但是从这个越界的argv[1]中读取和写⼊的到底是什么?要回答这个问题,我们必须简短地离题。我们需要了解execve函数,函数原型如下:
int execve(const char *filename, char *const argv[], char *const envp[]);
当我们使⽤execve函数启动⼀个新程序时,内核将我们的参数、环境变量字符串和指针(argv和envp)复制到新程序堆栈的末尾;例如execve("/usr/bin/pkexec",{"program","-option",...},{"value","PATH=name",...})的内存布局如下:
|---------+---------+-----+------------|---------+---------+-----+------------|
| argv[0] | argv[1] | ... | argv[argc] | envp[0] | envp[1] | ... | envp[envc] |
|----|----+----|----+-----+-----|------|----|----+----|----+-----+-----|------|
V        V                V          V        V                V
"program" "-option"          NULL      "value" "PATH=name"          NULL
显然,因为argv和envp指针在内存中是连续的,如果argc为0,那么越界argv[1]实际上是envp[0],指向我们的第⼀个环境变
量“value”的指针。最后:
在第610⾏,将要执⾏的程序的路径从argv[1](即envp[0])中越界读取,并指向“value”;
在第 632 ⾏,这个路径“value”被传递给 g_find_program_in_path函数(因为在第 629 ⾏“value”不是以斜杠开头);
然后g_find_program_in_path函数在我们的 PATH 环境变量的⽬录中搜索⼀个名为“value”的可执⾏⽂件;
如果到这样的可执⾏⽂件,则将其完整路径返回给pkexec第 632 ⾏的指针s;
最后在第 639 ⾏,这个完整路径被越界写⼊argv[1](即envp[0]),从⽽覆盖了我们的第⼀个环境变量。
所以,更准确地说:
如果我们的PATH环境变量是“PATH=name”,并且如果⽬录“name”存在(在当前⼯作⽬录中),并且包含⼀个名
为“value”的可执⾏⽂件,那么指向字符串“name/value”的指针将被越界写⼊envp[0];
或者
如果我们的PATH是“PATH=name=.”,并且如果⽬录“name=.” 存在并包含⼀个名为“value”的可执⾏⽂件,那么指向字符串“name=./value”的指针将被越界写⼊envp[0]。
换句话说,这种越界写⼊允许我们将“不安全”的环境变量(例如,LD_PRELOAD)重新引⼊ pkexec 的环境。这些“不安全”变量通常在调⽤main函数之前通过ld.so从 SUID 程序的环境中删除。
最后注意事项:polkit 还⽀持⾮ Linux 操作系统,例如 Solaris 和 *BSD,但Qualys 研究团队尚未调查它们的可利⽤性。他们注意到OpenBSD 是不可利⽤的,因为如果argc为0,它的内核拒绝执⾏程序。
漏洞利⽤
要想成功利⽤此漏洞,我们应该将哪个“不安全”变量重新引⼊pkexec的环境中呢?我们的选项是有限的,因为在第639⾏越界写⼊后不久,在第702⾏将完全清除其环境变量:
639      argv[n] = path = s;
...
657  for (n = 0; environment_variables_to_save[n] != NULL; n++)
658    {
659      const gchar *key = environment_variables_to_save[n];
...
662      value = g_getenv (key);
...
670      if (!validate_environment_variable (key, value))
...
675    }
...
702  if (clearenv () != 0)
为了将错误消息打印到stderr,pkexec调⽤GLib的g_printerr函数(注意:GLib是⼀个GNOME库,⽽不是GNU C库,也称为glibc);例如,函数validate_environment_variable和log_message调⽤g_printerr(第126⾏和第408-409⾏):
88 log_message (gint    level,
89              gboolean print_to_stderr,
90              const    gchar *format,
91              ...)
92 {
...
125  if (print_to_stderr)
126    g_printerr ("%s\n", s);
...
383 validate_environment_variable (const gchar *key,
384                                const gchar *value)
385 {
...
406          log_message (LOG_CRIT, TRUE,
cve漏洞库407                        "The value for the SHELL variable was not found the /etc/shells file");
408          g_printerr ("\n"
409                      "This incident has been reported.\n");
g_printerr函数通常打印UTF-8错误消息,但如果环境变量CHARSET不是UTF-8,它可以在另⼀个charset中打印消息(注意:CHARSET不是安全敏感的,它不是“不安全”的环境变量)。要将消息从UTF-8转换为另⼀个字符集,g_printerr函数调⽤了glibc的函数iconv_open。
要将消息从⼀个字符集转换为另⼀个字符集,iconv_open函数执⾏了⼩型共享库;通常,这些三胞胎(源字符集、⽬的字符集和库名称)从默认配置⽂件/usr/lib/gconv/gconv-modules中读取。环境变量GCONV_PATH可以强制iconv_open函数读取另⼀个配置⽂件;当然,GCONV_PATH是“不安全”的环境变量之⼀(因为它会导致执⾏任意库),但被ld.so从SUID程序的环境变量中移除。
不幸的是,CVE-2021-4034允许我们将GCONV_PATH重新引⼊pkexec的环境,并以root⽤户⾝份执⾏我们⾃⼰的共享库。
重要提⽰:这种利⽤技术会在⽇志中留下痕迹(“在/etc/shells⽂件中不到SHELL变量的值”或“环境变量的值[…])。此漏洞也可以不留痕迹的被利⽤,感兴趣的可以⾃⾏寻。
关于pkexec、GLib和GCONV_PATH的进⼀步讨论,请参阅Tavis Ormandy、Jakub Wilk和Yuki Koike的以下帖⼦:
EXP
GitHub还有很多
在Kali Linux 2020.4中pkexec版本为0.105,如图:
成功利⽤该漏洞提升权限⾄root,如图:
在CentOS 7中pkexec版本0.112同样成功利⽤该漏洞提升权限,如图:
修复建议
1、取消pkexec程序特权
chmod 0755 /usr/bin/pkexec
2、GitHub源码已进⾏加固,需要⾃⾏安装:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。