Ubuntu Authd ID冲突导致提权漏洞CVE-2024-9312

Authd是开源身份验证守护进程，旨在管理类Unix系统用户身份和访问控制，通过集中服务促进用户身份验证以跨系统有效管理用户帐户。

一、基本情况

Authd是一个身份验证管理元件，主要提供云端身分验证系统的身分验证及存取的安全管理，并藉由模组化设计而具备多种身分验证功能。

Authd 身份原则管理原件旨在促进基于云的身份提供商（例如 MS Entra ID）的安全身份验证，以及目前正在开发的其他几个身份提供商。

该元件目前支持存取Entra ID，未来计划支持其他身分验证提供者，但研究人员发现 Authd 没有充分随机化用户 ID导致潜在用户 ID 冲突。

栋科技漏洞库关注到Canonical于2024年10月10日发布资安公告，针对 Ubuntu 发布新版用户管理元件Authd，修复漏洞CVE-2024-9312。

二、漏洞分析

CVE-2024-9312 漏洞源于 Authd 生成用户ID的机制，Authd将用户ID生成为用户名的直接函数的方式，导致UID空间有限，容易发生冲突。

漏洞CVSS评分7.6，影响 Authd 0.3.6 之前所版本，其中UID仅根据用户名生成，没有足够随机化从而导致潜在冲突和恶意用户权限升级。

Authd 将用户ID分配为用户名纯函数（pure function），再者UID集合太小无法进行伪随机分配，预测分配54562个ID后可发生随机冲突。

当前的GenerateID方法于 2024 年 9 月编写（提交a6c85ed）， 重复对用户名进行哈希处理，直到 4 个前导字节落入区间 [60 000; 2^1[：。

还有就是 Authd 只检查其本地缓存中的唯一性，同一域内的多个系统之间可能存在不一致； 另外就是存储在中，可能会被清除/var/cache。

这就意味着，对受影响计算机具有本地访问权限的攻击者可以使用冲突的UID或与目标帐户的 UID 匹配的用户名，可以注册多个用户帐户。

由于GenerateID函数中的随机性不足，攻击者可轻松预测或设计用户名冲突，或是与目标帐号UID符合的使用者名称建立多个使用者帐号。

由于 Authd 依赖缓存来检查用户 ID 的唯一性，因此多种情况下攻击者可绕过这些检查，攻击者就有机会得到与目标用户相同的存取权限。

攻击者可以设计一种系统管理员清除 /var/cache 的情况，从而绕过现有的 UID 检查，进而冒充合法用户获得相同权限的未经授权的访问。 

攻击者可完全离线执行，允许对手计算原像（产生相同 UID 用户名）而不会触发系统速率限制，单核系统上这种攻击计算成本仅10分钟。

除获得未经授权访问外，攻击者还可操纵关键文件和设置，如“~/.ssh/authorized_keys 或 ~/.config”，可能导致共享网络资源进一步利用。

虽然 NFSv4 等某些网络协议可能会提供保护，但在大多数的 Authd 部署中默认情况下不会启用这些防御，因而增加了受影响系统的风险。

三、漏洞影响

Authd < 0.3.6

四、修复建议

Canonical 已针对Ubuntu发布新版身份验证管理元件Authd发布更新，建议受影响用户立即更新到已经修补的版本，以降低被利用的风险。

如果无法立即升级，则可以考虑实施访问控制以限制用户注册并密切监控用户活动，同时还需确保禁用或删除任何不活跃使用的用户帐户。

官方建议身份提供商发布唯一性用户 ID 以防止冲突，许多 OpenID Connect (OIDC) 提供商（如 LDAP和Active Directory）都支持该功能。

官方在公告中表示，如果组织不能依赖外部身份提供商来生成唯一ID，那么就需要对Authd进行进一步的架构更改，从而防止未来的攻击。

具体的操作方法有很多种，官方举例表示可以管理多台计算机之间的可变状态，从而确保用户 ID 的正确同步，尤其是对于共享网络资源。

当然恶意利用 Vulert 等工具可以帮助实时监控此类漏洞并发出警报，但最好的解决方案还是建议升级 Authd 版本到 0.3.6，避免漏洞利用。

五、参考链接

https://security-tracker.debian.org/tracker/CVE-2024-9312

https://github.com/ubuntu/authd/security/advisories/GHSA-4gfw-wf7c-w6g2