Независимый ИБ-специалист Доминик Пеннер (Dominik Penner) опубликовал у себя в Twitter PoC-эксплоит для неисправленной уязвимости в составе KDE. Так, простой просмотр вредоносного файла .desktop или .directory может привести к выполнению произвольного кода.
Баг затрагивает библиотеку KDE Frameworks версии 5.60.0 и ниже. Данная библиотека лежит в основе KDE v4 и v5 (Plasma), в настоящее время включенного в несколько дистрибутивов Linux, включая Kubuntu, openSUSE, OpenMandriva, Chakra, KaOS и так далее.
Уязвимость связана с тем, как класс KDesktopFile (часть KDE Frameworks) обрабатывает файлы .desktop или .directory. Когда пользователь открывает средство просмотра файлов, чтобы получить доступ к каталогу, в котором хранятся файлы, вредоносный код, содержащийся в файлах .desktop или .directory, запускается без участия жертвы и непосредственного запуска самого файла.
Технический руководитель группы безопасности Ubuntu Алекс Мюррей (Alex Murray) уже подтвердил, что для выполнения кода достаточно просто просмотреть папку, содержащую вредоносный файл, с помощью Dolphin.
Описывая найденную уязвимость на GitHub, Пеннер отмечает, что проблема может быть использована для размещения шел-команд внутри стандартных записей Icon в файлах .desktop и .directory. Демонстрацию атаки можно увидеть ниже.
И хотя для эксплуатации уязвимости придется применить социальную инженерию, вынудив пользователя загрузить вредоносные файлы, преимущество данного метода заключается в том, что жертве не нужно будет взаимодействовать с файлами или открывать их.
Пеннер объяснил журналистам издания ZDNet, что намеренно раскрыл информацию о проблеме, не уведомив предварительно разработчиков KDE.
«По сути, я просто хотел вбросить 0-day прямо перед Defcon. Я планировал сообщить об [уязвимости], но это скорее недостаток дизайна, а не реальная уязвимость, невзирая на то, что можно сделать с ее помощью, — заявил исследователь. — Честно говоря, я даже думал внести изменения в код самостоятельно, раз уж KDE, это опенсорсное решение».
Лишь журналисты, наконец, проинформирвоалио проблеме разработчиков KDE, и те вежливо просят ИБ-специалистов не поступать как Пенер:
«Мы были бы очень признательны, если бы люди связывались с нами по адресу security@kde.org, прежде чем публиковать эксплоиты, а не наоборот, чтобы вместе мы могли установить сроки [исправления проблемы и раскрытия информации о ней]».