Nimbuspwnで特権昇格

ほぼこもセキュリティニュース By Terilogy Worx

Nimbuspwnは脆弱性の組み合わせにつけられた名前です。
組み合わせる脆弱性は、CVE-2022-29799とCVE-2022-29800です。

これらはいずれもnetworkd-dispatcherに存在が確認されている脆弱性です。
モダンなLinuxでのネットワーク管理には、NetworkManagerが使われている場合とsystemd配下にあるnetworkd-dispatcherが使われている場合が多いと思います。
そのnetworkd-dispatcherの脆弱性です。
たとえばCentOS7などの古めのLinuxではクリーンインストール後の標準状態でNetworkManagerが使われている場合が多いと思います。
そのまま変更せずに使っている場合にはNetworkManagerで管理した状態だと思います。
ubuntuなどの新しめのLinuxではnetworkd-dispatcherが使われている場合が多いと思います。

2つの新しく確認された脆弱性の中身はこんな感じです。

  • CVE-2022-29799
    ディレクトリトラバーサルです。
    ネットワークインターフェースの状態管理の中に、OperationalStateとAdministrativeStateがあります。
    これを変更する際に渡される文字列のサニタイズ処理がどこにも実装されていませんでした。
    このため、ここに「../」の組み合わせを含むものを入れることによって意図しないPATHに進むことができるようになります。
  • CVE-2022-29800
    Time-of-check-time-of-use(TOCTOU)の競合状態です。
    タイミングに関連する弱さを突いて正常処理される前にシンボリックリンクを付け替えてしまうような動きを行います。
    この結果攻撃者はroot権限で動作するスクリプトを実現することができます。

今回のこのNimbuspwnは特権昇格です。
これ単体では脅威ではありません。
しかしなんらかの別の問題で一般ユーザ権限で侵入された環境において、特権昇格を許してしまうこととなる問題だといえます。
ほころびが複数存在したままとなることで、結果として大きな問題へと繋がります。
この脆弱性が修正された新しいnetworkd-dispatcherはすでに提供されています。
更新すれば大丈夫です。

ところで、Nimbuspwnという名前は、どんなふうに命名したのでしょうね。
Numbus+pwnで後光を勝ち取る、でしょうか。それとも、Numbus+spawnで後光が生まれ出てくる、でしょうか。
うまいこと名前を付けたものです。

来週、ほぼこもセキュリティニュースはお休みです。
次の更新は2022/5/9以降です。

参考記事(外部リンク):Microsoft finds new elevation of privilege Linux vulnerability, Nimbuspwn
www.microsoft.com/security/blog/2022/04/26/microsoft-finds-new-elevation-of-privilege-linux-vulnerability-nimbuspwn/