TokyoBlackHatNews

gbhackers.com 4分で読了

Pardus Linux脆弱性により、ローカル攻撃者がサイレントなルートアクセスを取得可能

CVE-2026-5140として追跡されている重大な権限昇格脆弱性チェーンがPardus Linuxの更新メカニズムで発見されました。これにより、ローカルユーザーは認証なしで完全なルートアクセスを取得することが可能になります。

CVSS 9.3(重大)と評価されたこの問題は、pardus-updateパッケージに影響し、3つの異なるフローの組み合わせに起因しており、これらが連鎖すると、数秒以内にシステムの完全な侵害が可能になります。

Pardus Linux脆弱性

TÜBİTAKが保守し、トルコの政府および教育機関全体に広く展開されているDebian系ディストリビューションのPardus Linuxは、システム更新にpardus-updateユーティリティを使用しています。このツールはPolicyKit(Polkit)を使用して、Pythonスクリプト経由で特権操作を実行します。

セキュリティ研究者のÇağrı Eser(0xc4gr1)は、認可バイパス、入力インジェクション、および不安全なファイル処理という3つの弱点を組み合わせることで、任意の権限のないローカルアカウントからのサイレント権限昇格を実現できることを特定しました

攻撃チェーンは以下のコンポーネントで構成されています:

  • Polkit認可バイパス(CWE-285):
  • 不正に設定されたPolkitポリシーファイルにより、任意のユーザーは認証なしで特権更新アクションを実行できます。パッケージ更新やシステム設定変更などの重要なアクションは「allow_any=yes」に設定されており、pkexec経由でルートレベルの実行を事実上許可しています。
  • 設定処理におけるCRLFインジェクション(CWE-93):
  • SystemSettingsWrite.pyスクリプトは、ユーザー入力を不適切にサニタイズしています。改行文字はフィルターされていますが、キャリッジリターン(\r)文字はフィルターされていません。これにより、攻撃者は/etc/pardus/pardus-update.confに任意の設定エントリを挿入できます。
  • 信頼されていないAPTソースパス(CWE-426):
  • AutoAptUpgrade.pyスクリプトは攻撃者が制御可能な設定値を読み取り、任意のAPTリポジトリファイルを検証なしで/etc/apt/sources.list.d/にコピーします。これにより、システム更新中の悪意のあるパッケージの実行が可能になります。
Image

概念実証(簡略版)

攻撃者は2つのステップでチェーンを悪用できます:

  1. 設定ファイルに悪意のあるリポジトリパスを挿入します:
pkexec SystemSettingsWrite.py write lastupgrade $'123\rcustom_sourcesd_path=/tmp/pwn.list'
  1. 更新プロセスをトリガーして悪意のあるパッケージをインストールします:
pkexec AutoAptUpgrade.py

悪意のあるパッケージには、/bin/bashのSUIDビットを設定する、インストール後スクリプトを含めることができます。これにより、永続的なルートアクセスが可能になります:

chmod +s /bin/bash

実行後、攻撃者は以下を使用してルートシェルを起動できます:

/bin/bash -p

この脆弱性は深刻なセキュリティへの影響を及ぼします:

  • 機密性:/etc/shadowなどの機密ファイルへの完全なアクセス
  • 完全性:システムバイナリの修正、バックドアのインストール、またはrootkitの展開能力
  • 可用性:システムの完全な乗っ取り
  • スコープ:ユーザーレベルのアクセスから完全なルート権限へのエスカレーション

ローカルユーザーアクセスを持つすべてのシステム(共有マシンや侵害されたアカウントを含む)が危険にさらされています。

緩和措置と修正

この問題を完全に修復するために、管理者は以下の修正を適用する必要があります:

  • Polkitポリシーを強化:許可的な「allow_any=yes」設定を「auth_admin」に置き換えて認証を強制します。
  • 入力を適切にサニタイズ:設定スクリプトからユーザー入力の「\r」と「\n」文字の両方を削除します。
  • APTソースを検証:リポジトリパスを信頼できるディレクトリに制限し、/tmpなどの世界書き込み可能なロケーションをブロックします。

入力サニタイゼーション修正の例:

timestamp = sys.argv[3].replace('\r', '').replace('\n', '')

タイムラインと帰属

  • 発見日:2026年3月13日
  • 研究者:Çağrı Eser(0xc4gr1)
  • 脆弱性クラス:CWE-285、CWE-93、CWE-426

Pardus Linuxを使用している組織は、脆弱性のある設定についてシステムを直ちに監査し、パッチを適用する必要があります。また、進行中の検出活動の一部として、権限のないAPTソースと異常な権限昇格の監視を推奨します。

このケースは、一見些細な不正設定がいかに重大な�悪用チェーンに組み合わさることができるかを示しており、システム設計における安全なデフォルト、厳密な入力検証、および適切な権限施行の重要性を強調しています。

翻訳元: https://gbhackers.com/pardus-linux-vulnerability/

ソース: gbhackers.com
#CVE-2026-5140 #CVSS 9.3 #Linux セキュリティ #Pardus Linux #Polkit #システム更新 #トルコ #ローカル攻撃 #権限昇格脆弱性 #脆弱性チェーン

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚