La investigación de seguridad de Dawid Golunski reportó una escalada de privilegios de raíz en las distribuciones basadas en RedHat
Los paquetes de Apache Tomcat proporcionados por los repositorios por defecto de las distribuciones basadas en RedHat (es decir, CentOS, RedHat, Oracle Linux, Fedora, etc.) crean un archivo de configuración tmpfiles.d con permisos inseguros. El /usr/lib/tmpfiles.d/tomcat.conf archivo de configuración podría ser modificada por un miembro del grupo de Tomcat o mediante una aplicación web malicioso desplegado en Tomcat con el fin de desencadenar el problema y escalar sus privilegios de raíz y comprometer el sistema.
Dependiendo de la máquina específica. la ejecución de TMPFILES-SystemD podría ser provocada por otros servicios, incluyendo cronjobs y guiones de arranque.
"Los archivos de configuración en tmpfiles.d se utilizarán por las personas TMPFILES SystemD para administrar los archivos temporales incluyendo su creación. Los atacantes podrían muy fácilmente explotar los permisos débiles en tomcat.conf para inyectar configuración que crea un rootshell a distancia que les permite ejecutar comandos arbitrarios con privilegios de root."Segun Golunski en un aviso de seguridad .
La falla potencialmente podría ser explotada por atacantes remotos en combinación con una aplicación web vulnerable alojada en Apache Tomcat si se las arreglaron para encontrar un camino de recorrido (es decir, en una función de carga de archivos) o un archivo de escritura arbitraria/anexar vulnerabilidad. Esto les permitiría que se añadirán a la configuración /
Este atacante sólo tiene que añadir la configuración del archivo /usr/lib/tmpfiles.d/tomcat.conf y lograr la ejecución de código con privileges.
"Este vector podría resultar útil para los atacantes, por ejemplo , si no fueron capaces de obtener una shell/tomcat-privilegiada codeexec mediante la subida de un .jsp WebShell a través de una función de carga de archivos vulnerables debido a las restricciones impuestas por el gerente de seguridad de Tomcat, o de sólo lectura Webroot etc. vale la pena señalar que systemd- MPFILES hace no se detienen en los errores de sintaxis al procesar archivos de configuración que hace que la explotación sea más fácil ya que los atacantes sólo necesitan inyectar su carga útil después de una nueva línea y no necesitan preocuparse de datos de la basura potencialmente antepuestas por un vulnerables webapp en caso de arbitraria Escribir archivo / Anexar la explotación. " segun Golunski.
