Търсене
Close this search box.

Уязвимостта в командата wall на пакета util-linux, който е част от операционната система Linux, може да позволи на непривилегирован нападател да открадне пароли или да промени клипборда на жертвата.

Проследен като CVE-2024-28085, проблемът със сигурността е наречен WallEscape и присъства във всяка версия на пакета през последните 11 години до издадената вчера версия 2.40.

Въпреки че уязвимостта е интересен пример за това как нападателят може да заблуди потребител, за да даде администраторската си парола, използването ѝ вероятно е ограничено до определени сценарии.

Нападателят трябва да има достъп до Linux сървър, който вече има няколко потребители, свързани едновременно чрез терминала, например в колеж, където студентите могат да се свържат за изпълнение на задача.

Изследователят по сигурността Скайлър Феранте открива WallEscape, който е описан като „неправилно неутрализиране на escape последователности в командата wall“.

Експлоатиране на WallEscape

WallEscape въздейства върху командата „wall“, която обикновено се използва в системите Linux за излъчване на съобщения до терминалите на всички потребители, влезли в една и съща система, например сървър.

Тъй като escape последователностите се филтрират неправилно при обработката на входни данни чрез аргументи от командния ред, непривилегирован потребител може да се възползва от уязвимостта, като използва контролни escape символи, за да създаде фалшив SUDO промпт на терминалите на други потребители и да ги подведе да въведат администраторската си парола.

Проблемът със сигурността може да бъде използван при определени условия. Ferrante обяснява, че експлоатацията е възможна, ако обслужващата програма „mesg“ е активна и командата wall има права за setgid.

Изследователят отбелязва, че и двете условия са налице в Ubuntu 22.04 LTS (Jammy Jellyfish) и Debian 12.5 (Bookworm), но не и в CentOS.

Публикуван е код за доказателство на концепцията за експлойт за WallEscape, за да се демонстрира как нападателят може да се възползва от проблема.

Наред с техническите подробности Феранте включва и сценарии за експлоатация, които могат да доведат до отделни резултати.

Един от примерите описва стъпките за създаване на фалшив sudo подкана за терминал Gnome, за да подведе потребителя да въведе паролата си.

Феранте описва подробно, че това е възможно чрез създаване на фалшив SUDO промпт за Gnome терминал, който да подмами потребителя да въведе чувствителната информация като аргумент от командния ред.

Това изисква някои предпазни мерки, които са възможни, като се използва командата wall за предаване на целта на скрипт, който променя входа в терминала (цвят на преден план, скрива писането, време за сън), така че фалшивият промпт за парола да мине като легитимна заявка.

За да намери паролата, нападателят ще трябва да провери файла /proc/$pid/cmdline за аргументите на командата, които са видими за непривилегированите потребители в множество дистрибуции на Linux.

Друга атака би била да се промени клипбордът на целевия потребител чрез escape последователности. Изследователят подчертава, че този метод не работи с всички терминални емулатори, сред които е и Gnome.

„Тъй като можем да изпращаме ескейп последователности през стената, ако потребителят използва терминал, който поддържа тази ескейп последователност, атакуващият може да промени клипборда на жертвите с произволен текст“, уточнява Феранте.

Изследователят предоставя в доклада за уязвимостта демонстрационния код за поставяне на капана и изпълнение на атаката, а също така обяснява как тя работи и при двата сценария на експлоатация.

Заслужава да се отбележи, че експлоатирането на WallEscape зависи от локален достъп (физически или отдалечен чрез SSH), което ограничава неговата сериозност.

Рискът идва от непривилегировани потребители с достъп до същата система като жертвата в многопотребителски настройки като сървър на организация.

На потребителите се препоръчва да обновят до linux-utils v2.40, за да отстранят уязвимостта. Обикновено актуализацията се предоставя чрез стандартния канал за актуализация на Linux дистрибуцията в мениджъра на пакети, но е възможно да има известно забавяне.

Системните администратори могат незабавно да намалят CVE-2024-28085, като премахнат разрешенията setgid от командата ‘wall’ или като деактивират функционалността за излъчване на съобщения, като използват командата ‘mesg’, за да зададат флага ѝ на ‘n’.

Източник: e-security.bg

Подобни публикации

13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
Бъдете социални
Още по темата
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
28/11/2024

ESET обяви прототип на UEFI...

Ловците на зловреден софтуер от ESET...
04/07/2024

Новата рансъмуер заплаха Vo...

Атакуващите изчистват регистрите преди експлоатация и...
Последно добавени
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
12/12/2024

Изследователи разбиват Micr...

Изследователи разбиха метод за многофакторно удостоверяване...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!