Опасная уязвимость в ProFTPD и ftpd из состава FreeBSD

02.12.2011 16:59

В списке рассылки Full-Disclosure опубликован эксплоит, позволяющий удалённому злоумышленнику выполнить на сервере код с правами root, при условии если у атакующего имеется рабочий пользовательский аккаунт в системе, работа которого ограничена домашней директорией через помещение в chroot (во FreeBSD ftpd используется /etc/ftpchroot). Уязвимости также подвержены анонимные FTP-серверы, на которых пользователь имеет возможность записи в директорию /home или в /lib и /etc (например, системы анонимной загрузки файлов с доступным на запись корнем). Наличие уязвимости подтверждено в ftpd из состава FreeBSD 8.2 и в ProFTPD, включая последний выпуск 1.3.4a.

Уязвимость в ftpd вызвана особенностью выставления uid/euid для рабочего процесса: во время работы с файлами меняется только euid, который влияет на операции с файлами, а uid остаётся неизменным. При выполнении /bin/ls после вызова команды STAT отсутствует проверка на сочетание uid=0 и euid!=0, что приводит к попыткам загрузки библиотеки /lib/nss_compat.so с правами uid 0 (root). Разместив фиктивную библиотеку "~/lib/nss_compat.so.1" в домашней директории и создав "~/etc/nsswitch.conf" для активации NSS, при изоляции аккаунта в chroot в рамках данной домашней директории, библиотека окажется в директории /lib относительно нового корня и будет вызвана из libc с uid root и euid текущего непривилегированного пользователя.

Официальных патчей с исправлением проблемы пока нет, но для FreeBSD на скорую руку подготовлен неофициальный патч, позволяющий блокировать работу эксплоита. Дополнительно опубликован видеоролик с детальной демонстрацией работы эксплоита. Следует заметить, что код с правами root запускается после создания chroot, что ограничивает его работу директорией пользователя.

Дополнение: Сообщается об обнаружении похожей проблемы в ftp-сервере vsftpd, но уязвимость больше носит теоретический характер, так как чрезвычайно сложно эксплуатируема, требует нереальных условий (наличие в системе версии glibc с уязвимостью, исправленной ещё в 2009 году) и в конечном итоге может привести лишь к выполнению кода с правами непривилегированного пользователя, что практически исключает выход за пределы chroot (для повышения привилегий из chroot можно дополнительно эксплуатировать локальную уязвимость в ядре). Проблема присутствует не в самом vsftpd, а в glibc. В случае с vsftpd в каталог "~/usr/share/zoneinfo" помещаются специально оформленные файлы временных зон, которые эксплуатируют переполнение буфера в старых версиях библиотеки glibc, которая пытается загрузить данные файлы из иерархии chroot при выполнении определённых FTP-команд.

исправить +5 +/–

Главная ссылка к новости (http://seclists.org/fulldisclo...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/32450-ftp

Ключевые слова: ftp, freebsd, security, exploit

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (74)

1.1, кверти (?), 17:24, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
уж сколько раз твердили миру...

2.10, midori (ok), 17:47, 02/12/2011 [^] [^^] [^^^] [ответить]	–2 +/–
уверен, что его использует больше половины пользователей этого ресурса(

3.53, Hety (??), 10:18, 03/12/2011 [^] [^^] [^^^] [ответить]	+1 +/–
Вроде все уже на vsftpd сидят. Не?

4.54, Аноним (-), 11:10, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
> Вроде все уже на vsftpd сидят. Не? Увы, иногда proftpd нужен из-за всяких свистелок и перделок вроде шейперов, аутентификации из базы, виртуальных юзеров, конвертеров кодировок... это как апач: тоже дофига функционала, тоже находят всякие дырки, но отказаться от него сложно.

5.56, Stax (ok), 14:17, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
Ну, положим, более часто используемые фичи из данного списка, такие как виртуальные юзеры и аутентификация через базу или что-то еще (через pam) в vsftpd есть..

6.72, фклфт (ok), 07:19, 05/12/2011 [^] [^^] [^^^] [ответить]	+/–
> Ну, положим, более часто используемые фичи из данного списка, такие как виртуальные > юзеры и аутентификация через базу или что-то еще (через pam) в > vsftpd есть.. ftpasswd есть ???

5.61, Аноним (-), 21:08, 03/12/2011 [^] [^^] [^^^] [ответить]	+1 +/–
> Увы, иногда proftpd нужен из-за всяких свистелок и перделок вроде ...наличия недокументированного режима ремотного администрирования, etc :))

1.2, Аноним (-), 17:29, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	–11 +/–
> Разместив фиктивную библиотеку "~/lib/nss_compat.so.1" > в домашней директории и создав "~/etc/nsswitch.conf" Ух ты, почти как в виновсе с подгрузкой dll из сетевых шар. А что, бсда грузит либы откуда попало, как винда? oO

2.8, QuAzI (ok), 17:44, 02/12/2011 [^] [^^] [^^^] [ответить]	–3 +/–
Ух ты, почти как в любой вашей программе, в которой путь не забит жёстко в полную длинну. Пофиг, линуховая она или не очень.

3.12, Аноним (-), 17:50, 02/12/2011 [^] [^^] [^^^] [ответить]	+1 +/–
Путь как раз забит жестко в полную длину, в том и цимес.

4.14, QuAzI (ok), 17:55, 02/12/2011 [^] [^^] [^^^] [ответить]	–3 +/–
Вероятно по вашему ~/lib/nss_compat.so.1 это и есть "полная длинна" ?

5.20, Аноним (-), 18:07, 02/12/2011 [^] [^^] [^^^] [ответить]	+3 +/–
> Вероятно по вашему ~/lib/nss_compat.so.1 это и есть "полная длинна" ? Вы даже текста новости не поняли. Используется /lib/nss_compat.so.1. Почему /, а не ~ - оставляю в качестве простенького самостоятельного задания.

6.25, QuAzI (ok), 18:47, 02/12/2011 [^] [^^] [^^^] [ответить]	–2 +/–
Точно, совсем не понял, почему /, если в новости написано "Разместив фиктивную библиотеку "~/lib/nss_compat.so.1" в домашней директории". У вас /home симлинк на / ? Я вас поздравляю

7.28, terr0rist (ok), 18:53, 02/12/2011 [^] [^^] [^^^] [ответить]	+1 +/–
"пользовательский аккаунт, работа которого ограничена домашней директорией через помещение в chroot" (с) новость Вы знаете, что такое chroot? Если да, то вы новость читали?

7.29, Аноним (-), 18:56, 02/12/2011 [^] [^^] [^^^] [ответить]

+1 +/–

> Я вас поздравляю

А я вас поздравляю, вы спалились на том что по нулям в системных вопросах.

Попутно для исторической справедливости придется посыпать голову пеплом и отозвать наезд не по делу: действительно, при чруте ~/lib ... станет для того что в нем уже /lib/... и вот тогда уже все ок, т.е. загрузка либы из "правильной" локации. Так что сравнение с виндами которые по дурости своей грузят либы из текущей диры было все-таки некорректным.

3.50, Аноним (-), 06:01, 03/12/2011 [^] [^^] [^^^] [ответить]	+3 +/–
> Ух ты, почти как в любой вашей программе, в которой путь не > забит жёстко в полную длинну. Пофиг, линуховая она или не очень. К сожалению вы эпично спалились на готовности называть черное белым если это "выгодно". Нате вам заслуженный минус. Мне правда их тоже навесили и за дело - тупанул насчет chroot, прочитав сначала по диагонали и попав глазом на путь в хомяке.

1.3, Аноним (-), 17:31, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
> что ограничивает его работу директорией пользователя. Обойти чрут имеючи root - не больно какая наука.

2.4, Аноним (-), 17:37, 02/12/2011 [^] [^^] [^^^] [ответить]	+/–
Пример ? При условии, что файловые деcкрипторы, связанные с вне закрыты. Методы подобные http://www.bpfh.net/simes/computing/chroot-break.html уже много лет не работают, так как по крайнеё мере в Linux и FreeBSD реализация chroot поправлена на предмет таких атак.

3.24, Аноним (-), 18:46, 02/12/2011 [^] [^^] [^^^] [ответить]	–1 +/–
> Пример ? При условии, что файловые деcкрипторы, связанные с вне закрыты. Руту можно почти все. Все сисколы к его услугам. С таким же успехом можете пытаться удержать слона на поводке для моськи.

4.33, Аноним (-), 19:12, 02/12/2011 [^] [^^] [^^^] [ответить]

+/–

> Руту можно почти все. Все сисколы к его услугам. С таким же
> успехом можете пытаться удержать слона на поводке для моськи.

Подробнее, подробнее. Общими фразами не отделайтесь. Какие системные вызовы позволят выйти за пределы chroot и как именно ? Повторяю, старые лазейки уже много лет в Linux и FreeBSD прикрыты, если вы знайте те, что не прикрыты, вы обладайте информацией о новой zero-day уязвимости.

5.35, Аноним (-), 19:29, 02/12/2011 [^] [^^] [^^^] [ответить]	–3 +/–
> вы обладайте информацией о новой zero-day уязвимости. То что рут может админить систему и в хвост и в гриву - это уязвимость?!? Инихренасебе отжиг!

5.38, Stax (ok), 19:49, 02/12/2011 [^] [^^] [^^^] [ответить]	+3 +/–
Вы что, издеваетесь? Делаете mknod соответствующего блочного устройства. Читаете таблицу разделов, монтируете.. делаете что хотите.. Сколько раз делал это из чрута во время исправления систем и тому подобного.

6.39, Аноним (-), 19:54, 02/12/2011 [^] [^^] [^^^] [ответить]	–2 +/–
> Вы что, издеваетесь? > Делаете mknod соответствующего блочного устройства. Читаете таблицу разделов, монтируете.. > делаете что хотите.. Сколько раз делал это из чрута во время > исправления систем и тому подобного. Так и запишем, голословные догадки. PS. mknod при chroot не сработает.

7.43, Аноним (-), 00:18, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
> PS. mknod при chroot не сработает. Так и запишем, голословные догадки.

8.49, Аноним (-), 04:18, 03/12/2011 [^] [^^] [^^^] [ответить]	–2 +/–
так и запишем - не компетентен - под freebsd - давно запрещено создавать devic... текст свёрнут, показать

9.52, Аноним (-), 08:47, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
А нас - легион, ой, то-есть, рать Так, на подумать, попробуйте от рута дернуть ... текст свёрнут, показать

9.58, Аноним (-), 15:57, 03/12/2011 [^] [^^] [^^^] [ответить]	+1 +/–
Создавать-то можно, только работать оно не будет А вот смонтировать где угодно ... текст свёрнут, показать

10.86, Я (??), 18:01, 30/01/2013 [^] [^^] [^^^] [ответить]	+/–
gt оверквотинг удален Новый udev требует смонтированную devtmpfs udev on dev... текст свёрнут, показать

5.45, Аноним (-), 00:23, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
> Повторяю, старые лазейки уже много лет в Linux и FreeBSD прикрыты, если вы знайте те, что не прикрыты, вы обладайте информацией о новой zero-day уязвимости. Очень смешно, ага. Вы еще скажите, что там прикрыты старые лазейки для rm -rf / от рута.

6.47, I am (??), 01:49, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
> Вы еще скажите, что там прикрыты старые лазейки для rm -rf / от рута. А зачем? just for fun же.

7.62, Аноним (-), 21:48, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
> А зачем? just for fun же. Никто и не спорит. Просто не надо называть штатную возможность системы "уязвимостью нулевого дня".

2.5, Аноним (-), 17:38, 02/12/2011 [^] [^^] [^^^] [ответить]	+/–
Например ?

3.7, XPEH (?), 17:43, 02/12/2011 [^] [^^] [^^^] [ответить]	+3 +/–
1) mknod 2) mount 3) ??? 4) PROFIT !!!

4.11, QuAzI (ok), 17:49, 02/12/2011 [^] [^^] [^^^] [ответить]	+/–
Не взлетит. man mknod As of FreeBSD 6.0 device nodes may be created in regular file systems but such nodes cannot be used to access devices.

5.13, Аноним (-), 17:52, 02/12/2011 [^] [^^] [^^^] [ответить]	+/–
> Не взлетит. > man mknod > As of FreeBSD 6.0 device nodes may be created in regular file > systems but such nodes cannot > be used to access devices. Взлетит, надо только правильно devfs смонтировать =)

6.16, QuAzI (ok), 17:58, 02/12/2011 [^] [^^] [^^^] [ответить]

+/–

> Взлетит, надо только правильно devfs смонтировать =)

Это мне напомнило один баян про алгоритм выстрела себе в ногу на разных языках программирования.
И в общем-то мы с удовольствием посмотрим на ваше дополнение к статье с рабочим экземплом.

7.27, Аноним (-), 18:51, 02/12/2011 [^] [^^] [^^^] [ответить]

+/–

> Это мне напомнило один баян про алгоритм выстрела себе в ногу на
> разных языках программирования.

А мне это напомнило очевидный тупняк. Чрут не защищает от рута. Он вообще не задумывался как средство безопасности, так что если вы очень уж хотите оным от чего-то защищаться, надо хотя-бы права рута сбросить, став из рута обычным юзером через setuid()/setgid() (без прав рута сискол chroot() вообще не срабатывает, btw).

А тут как раз хацкер с несброшенными правами рут, т.е. жесть как она есть. Никакой чрут от такого орла не защитит.

4.34, Аноним (-), 19:29, 02/12/2011 [^] [^^] [^^^] [ответить]

+/–

Есть один способ выхода за chroot, но для этого до входа в chroot должен быть открыт левый дескриптор. Т.е. атака актуальна, когда есть возможность контролировать этап перехода в chroot. Для ситуации с ftpd он не будет работать.

Алгоритм примерно такой

root = open("/", O_RDONLY)
chroot(/chroot)
fchdir(root)
chdir("..")
chroot(".")
в итоге новый chroot теперь совпадает со старым корнем.

3.15, Elhana (ok), 17:55, 02/12/2011 [^] [^^] [^^^] [ответить]	+/–
Что мешает руту создать ноду и смонтировать корень в папку внутри chroot jail? или загрузить модуль ядра свой? Я не экспериментировал, т.к. на работе сейчас, но думаю что получится.

4.26, terr0rist (ok), 18:49, 02/12/2011 [^] [^^] [^^^] [ответить]	+/–
> Что мешает руту создать ноду хотя бы то, что /dev недоступен из chroot Если речь идёт именно о chroot (как в новости), а не jail. chroot != jail.

5.44, Аноним (-), 00:21, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
> хотя бы то, что /dev недоступен из chroot С рутовыми правами - это легко лечится.

6.55, NSForth (ok), 11:28, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
Находясь в chroot или jail нельзя смонтировать devfs. Это надо делать _до_ chroot или jail

7.57, Аноним (-), 15:53, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
> Находясь в chroot или jail нельзя смонтировать devfs. Это надо делать _до_ chroot или jail С правами обычного пользователя - да.

8.59, Аноним (-), 15:59, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
Впрочем, обычно флаг user для devfs не ставят Так что обычный пользователь не м... текст свёрнут, показать

1.9, t28 (?), 17:46, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Хороший эксплоит. Я у себя потестил, и мог свободно просматривать /etc/master.passwd вне chroot.

1.17, Andrew Kolchoogin (?), 17:59, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Непонятно одно: а зачем ВООБЩЕ FreeBSD'шному FTPd программа /bin/ls? И вообще, любой исполняемый бинарь внутри FTP root'а? У меня там ничего исполняемого нет, и всё работает. ЧЯДНТ?

2.19, Аноним (-), 18:06, 02/12/2011 [^] [^^] [^^^] [ответить]	+/–
> Непонятно одно: а зачем ВООБЩЕ FreeBSD'шному FTPd программа /bin/ls? И вообще, любой исполняемый бинарь внутри FTP root'а? > У меня там ничего исполняемого нет, и всё работает. ЧЯДНТ? А кто сказал, что /bin/ls берется из chroot?

3.30, Аноним (-), 19:01, 02/12/2011 [^] [^^] [^^^] [ответить]	+/–
А откуда он может браться после chroot?

1.32, terr0rist (ok), 19:10, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Мне вот только одно непонятно: кому (т.е. какому процессу) требуется либа /lib/nss_compat.so.1 ? + само название либы странное (не /lib/libnss_compat.so), да и нету такого в 9.0РС2...

2.46, cvsup1 (?), 01:00, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
Читаем ман _внимательно_ Потом читаем ман внимательно в SunOS

1.36, Аноним (-), 19:38, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
никто не подскажет название музыки в ролике?

2.60, Просто проходил мимо (?), 16:30, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
http://www.youtube.com/watch?v=ndFdy37DhRg

3.66, Аноним (-), 12:06, 04/12/2011 [^] [^^] [^^^] [ответить]	+/–
Спасибо.

1.37, ALex_hha (ok), 19:39, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> да и нету такого в 9.0РС2... Yjdость внимательно читаем - "Наличие уязвимости подтверждено в ftpd из состава FreeBSD 8.2"

2.41, terr0rist (ok), 22:15, 02/12/2011 [^] [^^] [^^^] [ответить]	+3 +/–
8-ки у меня уже нету, но честно скажу, сомневаюсь чтобы во фряхе были вообще когда-либо в /lib/ либы, имена которых не lib*.so

3.42, knike (?), 00:11, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
У меня в 8 2 нет такого gate ls -l lib total 6662 drwxr-xr-x 2 root wh... большой текст свёрнут, показать

4.51, Аноним (-), 06:06, 03/12/2011 [^] [^^] [^^^] [ответить]	+/–
тем ни менее эксплойт работает.

1.40, Анонимус 84705648 (?), 20:19, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
прикольно. включение chroot для фтп-юзеров приводит проблеме безопасности.

1.48, Аноним (-), 03:45, 03/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
proftpd продолжает радовать =(

2.63, Аноним (-), 21:49, 03/12/2011 [^] [^^] [^^^] [ответить]	–1 +/–
> proftpd продолжает радовать =( Да и FreeBSD не отстает. Совсем недавно же предыдущую дыру с сокетами нашли...

3.65, Аноним (-), 04:31, 04/12/2011 [^] [^^] [^^^] [ответить]	–1 +/–
Угу - а скажи ко - за последние лет так 5 - был ли хоть один релиз ведра ляпикса в котором разрабы не рекомендовали под страхом смерти обновится из-за серьёзных проблем с безопасностью причём каких - не скажем? Так что не вам дудеть.

4.67, Аноним (-), 16:25, 04/12/2011 [^] [^^] [^^^] [ответить]

+/–

> Так что не вам дудеть.

А вы чего раздуделись? Сентябрьской эскалации прав из грязи в князи вам было мало?

5.71, Аноним (-), 04:53, 05/12/2011 [^] [^^] [^^^] [ответить]	+2 +/–
>> Так что не вам дудеть. > А вы чего раздуделись? Сентябрьской эскалации прав из грязи в князи вам > было мало? девочки не ссорьтесь.

4.77, Аноним (-), 13:47, 05/12/2011 [^] [^^] [^^^] [ответить]

+/–

> Угу - а скажи ко - за последние лет так 5 -
> был ли хоть один релиз ведра ляпикса в котором разрабы не
> рекомендовали под страхом смерти обновится из-за серьёзных проблем с безопасностью причём
> каких - не скажем?

Ага, у некоего Грега эти слова вписаны в шаблон письма с сообщением о новом релизе. И с реальными проблемами безопасности это никак не коррелирует =)
Скорее, просто стимуляция хомячков на использование актуального софта, что, кстати, приводит к значительному уменьшению потока багрепортов.

> Так что не вам дудеть.

Кстати, дос-дыру в бинде из базовой системы фри так и не закрыли?
Security officer все еще в запое? =)

5.83, фклфт (ok), 07:05, 08/12/2011 [^] [^^] [^^^] [ответить]

+/–

> Кстати, дос-дыру в бинде из базовой системы фри так и не закрыли?
> Security officer все еще в запое? =)

Ха Ха Ха
а две строчки прописать для обновления не судьба ?
cd /usr/ports/dns/bind98
make install clean

3.75, Аноним (-), 11:45, 05/12/2011 [^] [^^] [^^^] [ответить]	+/–
А уж как радует Linux :-) что не обновление ядра - так 2-4 дыры, что не версия glibc - так множественные дыры.

4.76, Аноним (-), 13:43, 05/12/2011 [^] [^^] [^^^] [ответить]

+/–

> А уж как радует Linux :-) что не обновление ядра - так 2-4 дыры, что не версия glibc - так множественные дыры.

Ага, причем дыры из разряда "смотрировав специально сформированный образ ФС, пользователь может вызвать отказ в обслуживании" (ага, имея рутовые полномочия, чего б не обрушить).

А вот рутовые дыры в линyпсе встречаются гораааздо реже, чем во фре.

1.64, Аноним (-), 02:29, 04/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я плохо смотрю или у фрюшников нет pr-а по это теме?

2.79, Аноним (-), 13:55, 05/12/2011 [^] [^^] [^^^] [ответить]	–1 +/–
> Я плохо смотрю или у фрюшников нет pr-а по это теме? Нету. Фиксить некому - security officer в запое, а больше в security team и нет никого.

1.80, mic_jsdbfjsdbf sd v (?), 05:59, 06/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
не совсем ясно, при каких условиях существует уязвимость. В man ftpd подробно описан процесс настройки службы (для записи и чтения). Если сделать так, как описано в инструкции, будет ли cуществовать уязвимость?

2.81, Аноним (-), 12:39, 06/12/2011 [^] [^^] [^^^] [ответить]	+/–
> не совсем ясно, при каких условиях существует уязвимость. В man ftpd подробно > описан процесс настройки службы (для записи и чтения). Если сделать так, > как описано в инструкции, будет ли cуществовать уязвимость? Работает только при включенной DefaultRoot

3.82, Аноним (-), 12:40, 06/12/2011 [^] [^^] [^^^] [ответить]	+/–
> Работает только при включенной DefaultRoot Это про proftpd, в ftpd - не разбирался.

1.84, вася (??), 21:20, 08/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Из ролика ясно, что должен быть шел-доступ для фтп-юзеров, чтобы что-то сделать. По идее фтп-юзеры должны иметь валидный шелл-акаунт. Но, не обязательно же их в шел пускать )) Чащще всего и не надо совсем.

1.85, вася (??), 21:21, 08/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
.. по ssh.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: