Несмотря на знакомое название, на этот раз “Grinch” – вовсе не сказочный персонаж. Такое название получил дефект, который обнаружили в платформе Linux исследователи компании информационной безопасности Alert Logic.
Как сообщает Alert Logic, Grinch может повлиять на все системы Linux, в том числе на веб-сервера и мобильные устройства. Дыра в безопасности, на самом деле общая проблема конфигурации, связанной с Polkit (относительно новый компонент, используемый для контроля системных привилегий на UNIX-подобных операционных системах).
В отличие от Sudo, который позволяет системным администраторам дать некоторым пользователям возможность выполнять команды в качестве root-пользователя или другого пользователя, Polkit позволяет предоставить более тонкую степень контроля путем разграничения определенных действий и пользователей, и обозначение того, как пользователи могут выполнять эти действия.
Использование уязвимости в привилегиях может быть реализовано при помощи группы “wheel” – пользователей с правами администратора. В системах Linux, пользователь по умолчанию автоматически относится к этой группе. Стивен Коти (Stephen Coty), главный эксперт по безопасности из Алерт Logic написал в своем блоге о ряде свойств этой проблемы.
Проблема, указанная Alert Logic, двояка. Во-первых, конфигурация по умолчанию Polkit на многих системах UNIX (например, Ubuntu), не требует аутентификации. Во-вторых, конфигурация Polkit по существу только отображает “wheels” группу, обычно использующуюся для пользователей Sudo, для Polkit “Admin”. “Это дает пользователям группы “wheels” доступ к административным функциям, таким как установка пакетов, без необходимости вводить пароль” – объяснил Йоханнес Ульрих (Johannes Ullrich) из SANS Internet Storm Center.
“Основной риск – это использование уязвимости в привилегиях. С Sudo злоумышленнику нужно ввести пароль пользователя после вскрытия учетной записи пользователя в группе. С Polkit, все, что нужно, это установить пакет используя инструмент Polkit – «pkcon» “, добавил Ульрих.
В Alert Logic отметили, что этот дефект главным образом касается локальных пользователей, но компания считает, что атака может работать и в корпоративной среде, где в силу разных причин многие пользователи относятся к группе “wheel”.
“Правильное управление правилами авторизации Polkit и привилегиями группы является простым способом защиты от подобных атак пока не выпущен патч” – сказал Коти.
В то время как системные администраторы должны проверить, уязвимы ли их сети к атакам “Grinch”, Ульрих считает, что дефект является не столь сильным, как недавно раскрытая уязвимость GNU Bash, которая получила название “ShellShock”.
“Конечно, Shellshock и этот Polkit в два счета смогут получить доступ к суперпользователю сервера, использующего Unix. Но я сомневаюсь, что система, которая по-прежнему уязвима для Shellshock не имеет никакой другой уязвимости в привилегиях. Так что я не думаю, что это такая огромная проблема. Нужно исправить сначала Shellshock, если это так”, заметил эксперт.
Сам патч, возможно, никогда не будет выпущен для Grinch, так как Red Hat не считает, что это проблема безопасности или даже ошибка, утверждая, что то, что описала Alert Logic является ожидаемым поведением.
“PackageKit клиент-консоль (pkcon) является утилитой, которая позволяет пользователям группы wheel, также известной как локальные администраторы, устанавливать пакеты. Эта утилита позволяет локальным администраторам устанавливать пакеты без пароля. Под «локальными» подразумевается, что пользователь физически подключен к серверу через клавиатуру. Если вы являетесь пользователем, который не имеет физического доступа к серверу (например, удаленный пользователь, подключенный через SSH), необходимо указать данные аутентификации для установки пакетов”, объяснил Red Hat.
Ранее на этой неделе, разработчики нескольких Unix-подобных операционных систем начали выпускать патчи для устранения уязвимостей, которые поражают утилиту mailx. Важно знать, что подвержены воздействию дистрибутивы Linux: Red Hat Enterprise Linux, CentOS, Debian и Ubuntu.
