In der Sicherheitsübersicht dieser Woche besprechen wir ein von Microsoft entdecktes Problem der Privilegienerweiterung unter Linux sowie Schwachstellen im Zusammenhang mit Rancher und Redis.
Privilegieneskalation in Linux, Nimbuspwn
Das Microsoft 365 Defender Research Team hat mehrere Sicherheitslücken entdeckt, die unter dem Namen Nimbuspwn zusammengefasst werden. Die Schwachstellen können miteinander verkettet werden, um Root-Rechte auf einem Linux-System zu erlangen. Die Microsoft-Forscher überprüften den Codefluss und führten eine dynamische Analyse von Diensten durch, die als root ausgeführt werden, als sie die Schwachstellen in networkd-dispatcher entdeckten, einem Dispatcher-Daemon für Verbindungsstatusänderungen von systemd-networkd.
Unter den Schwachstellen ist eine Directory Traversal-Schwachstelle als CVE-2022-29799 und eine Time-of-Check-to-Time-of-Use (TOCTOU) Race Condition als CVE-2022-29800 bei MITRE reserviert. Die Schwachstellen werden derzeit noch analysiert und es wurde noch kein Schweregrad zugewiesen. Die Korrekturen wurden von Clayton Craft, dem Betreuer von networkd-dispatcher, bereitgestellt. Die Forscher meldeten auch verwandte Schwachstellen in Blueman und PackageKit, die zur Offenlegung von Verzeichnisinformationen führen.
Die Directory Traversal-Schwachstelle entsteht, weil keine der Funktionen den OperationalState- oder den AdministrativeState-Zustand bereinigt. Die TOCTOU-Schwachstelle wurde eingeführt, weil es eine Zeitverzögerung zwischen der Erkennung und Ausführung der Skripte gibt. Ein Angreifer kann diese Verzögerung ausnutzen, indem er die Skripte ersetzt, die networkd-dispatcher als Eigentum von root betrachtet.
Die Microsoft-Forscher erläutern in ihrem Nimbuspwn-Blog die Methodik der Ausnutzung und den Codefluss im Detail.
Offenlegung von SSH-Anmeldeinformationen in Rancher/Fleet
Eine Sicherheitslücke wurde von Dagan Hendereson von Raft Engineering in der Go-Getter-Bibliothek von Hashicorp entdeckt. Bibliotheksversionen vor 1.5.11 sind betroffen und betreffen Anwendungen wie Rancher und Fleet, die auf diese Bibliothek angewiesen sind. Die Schwachstelle macht private SSH-Schlüssel im base64-Format zugänglich, da es keine Kontrollmechanismen gibt, die solche sensiblen Informationen unkenntlich machen. Diese Schwachstelle betrifft jedoch nur Kunden, die Fleet für die kontinuierliche Bereitstellung mit authentifizierten Git- und/oder Repositorys verwenden, wie aus dem Advisory hervorgeht. Abgesehen von Fleet und Rancher könnten auch Anwendungen betroffen sein, die die verwundbare Version verwenden. Die Go-Getter-Bibliothek von Hashicorp wird für das Herunterladen von Dateien oder Verzeichnissen aus Quellen verwendet, die eine URL als primäre Form der Eingabe verwenden.
Die Patches für Rancher werden für die Versionen 2.513, 2.6.4 und später veröffentlicht. In dem Artikel wird auch erwähnt, dass es neben dem Upgrade auf die gepatchten Versionen keine weiteren Möglichkeiten gibt, diese Schwachstelle zu beheben. Es wird empfohlen, bis zum Abschluss des Upgrades den Zugriff auf vertrauenswürdige Benutzer zu beschränken und sorgfältig zu überprüfen, ob die verwendeten URLs korrekt sind. SSH-Schlüssel sollten sofort ausgetauscht werden, wenn sie offengelegt wurden.
Manipulation von Lua-Skripten zur Umgehung von ACL-Regeln
Eine Sicherheitslücke in Redis wurde von Aviv Yahav gemeldet. Die Sicherheitslücke ermöglicht es einem Angreifer, Lua-Code einzuschleusen, indem er eine Schwachstelle in der Lua-Skriptausführungsumgebung ausnutzt. Dies kann zur Ausführung des injizierten Codes durch einen anderen Redis-Benutzer führen, der möglicherweise über höhere Privilegien verfügt. Diese Sicherheitslücke betrifft alle Versionen vor 7.0.0 und 6.2.7. Diese Schwachstelle wurde als CWE-94 - Improper Control of Generation of Code (Code Injection) eingestuft und hat die CVE ID - CVE-2022-24735. Da möglicherweise eine Benutzerinteraktion erforderlich ist und die Auswirkungen auf die Vertraulichkeit und Integrität gering sind, wird der CVSS-Score auf 3,9/10 festgelegt, was bedeutet, dass es sich um ein Problem mit geringem Schweregrad handelt.
Ein vorübergehender Workaround, um diese Schwachstelle ohne Patching zu entschärfen, besteht darin, den Zugriff auf die Befehle SCRIPT LOAD und EVAL mithilfe von ACL-Regeln zu blockieren, die in Redis Version 6.0 und höher eingeführt wurden, wie in dem Advisory beschrieben.
Kommentare