Un brutto bug di sicurezza di systemd vecchio di sette anni è stato scoperto e risolto, ma c’è da aggiornare

3

Ci sono voluti sette anni per scoprire (e risolvere quasi immediatamente) un bug di sicurezza relativo alla componente polkit di systemd. Il bug, identificato dalla CVE-2021-3560 viene descritto da Kevin Backhouse il 10 di giugno e riguarda appunto la specifica componente polkit, che viene usata da diverse distribuzioni (vedi Ubuntu 20.04, RHEL 7 e 8, Fedora 20 e 21, Debian 10 e testing), per effettuare delle privilege escalation previste, quindi quando ad esempio si vuole effettuare da utente non privilegiato azioni mediante interfaccia grafica come modificare gli utenti di sistema.

Bene, polkit agisce con quello che sembra essere un popup grafico, ma la realtà dei fatti è che a ciascuna popup corrisponde un processo in background. Utilizzando il comando dbus-send con delle specifiche opzioni atte a svolgere azioni quali la creazione di un utente (automatizzando quella che viene effettuato mediante interfaccia grafica) ed avendo l’accortezza di effettuare il kill del comando dopo pochi millisecondi il buco di sicurezza si rivela. Non arrivando a determinare se l’utente ha i permessi o no, il kill porta il comando ad essere comunque eseguito.

Chiaro? Non fosse così, eccolo dimostrato in questo video proprio da Kevin Backhouse:

Come avete visto nell’esempio Backhouse utilizza dbus-send per cambiare la password all’utente che ha aggiunto e diventare poi root (poiché l’utente creato è parte del gruppo sudo), quindi nella sostanza la frittata è fatta, in tutti i sistemi affetti questo semplice comando:

dbus-send --system --dest=org.freedesktop.Accounts --type=method_call --print-reply /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser string:mysuperuser string:"Nome del vostro utente" int32:1 & sleep 0.008s ; kill $!

Mica male eh?

Ora, la vulnerabilità è già stata risolta, ma il piccolo dettaglio è che inevitabilmente tutti i sistemi affetti da questo problema andranno aggiornati al più presto.

Insomma… Tutto pronto per il patching party?

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.