Deepin D-Bus における認証バイパスの脆弱性 CVE-2025-23222:特権昇格の可能性

Authentication Bypass in Deepin D-Bus Proxy Service (CVE-2025-23222): A Critical Design Flaw Exposed

2025/01/28 SecurityOnline — Deepin デスクトップ環境の dde-api-proxy サービスに、重大なセキュリティ脆弱性 CVE-2025-23222 (CVSS:8.4) が発見され、SUSE セキュリティ・チームの Matthias Gerstner から、詳細なレポートが公開されている。このレポートが浮き彫りにするのは、Deepin の認証メカニズムにおける設計上の重大な欠陥である。この脆弱性の悪用に成功したローカルの攻撃者は、権限を昇格させ、不正な操作を実行するとされる。

root 権限で動作する dde-api-proxy は、実際の Deepin D-Bus サービスとクライアントをつなぐブリッジとして機能する。この設計は、旧来の D-Bus インターフェース名に対する、後方互換性を維持することを目的としているが、数多くのセキュリティ上の問題を内在している。

  • 任意のローカル・ユーザーからの、認証なしのリクエストを転送する。
  • 実際の D-Bus サービスに、リクエストが root クライアントから送信されたと誤認させる。

Gersten は、「通常では root ユーザー以外のアクセスが不可能なはずの旧来の D-Bus メソッドが、認証なしでアクセス可能になるところに、この脆弱性の原因がある。この欠陥により、特権のないユーザーであっても、特権 D-Bus メソッドを呼び出すことが可能になり、確立されたセキュリティ制御を回避する可能性を手にする」と述べている。

Gersten によるレポートでは、Deepin Grub2 サービスと Deepin アカウント・サービスを使用した、脆弱性 CVE-2025-23222 の悪用の可能性が実証されている。以下の例で示されているのは、この脆弱性を悪用する攻撃者が、不正アクセスや権限昇格を行う方法である:

  1. Grub2 の例:認証が必要なため、特権 D-Bus メソッドで、ダイレクトにブート・タイムアウト (SetTimeout) を設定しようとすると失敗する。しかし、dde-api-proxy 経由で呼び出しを行うと、そのサービスがリクエストを root からのものと想定するため、上記の操作が成功する。
  2. アカウントの例:accounts サービスを使用して root グループにユーザーを追加しようとしても、管理者権限が必要となり、失敗する。しかし、dde-api-proxy を経由することで、この操作は認証なしで実行され、ユーザーの権限の昇格が達成される。

脆弱性 CVE-2025-23222 は、dde-api-proxy が提供する多数の D-Bus インターフェースに影響を及ぼす。影響を受ける一部のインターフェースを以下に記す:

  • Accounts Service:特権グループへのユーザーの追加を許可する。
  • Network Proxy Settings:プロキシ構成を操作する。
  • Lastore Manager:制限なくソフトウェア・パッケージをインストールする。

Gersten は、「現時点において、この脆弱性の回避策は存在しない。dde-api-proxy をシステムから削除する以外に方法はない」と強調している。

Deepin チームは、バージョン 1.0.19 に Polkit 認証チェックを導入することで、この問題に対処しようとした。しかし、Gerstner は、修正に重大な欠陥があると指摘している:

  1. 競合状態の脆弱性 CVE-2013-4288 などにより非推奨となった、Polkit の UnixProcessSubject に、認証が依存している。
  2. この修正には、個々の D-Bus メソッドに対する詳細な制御が欠けているため、透明性とユーザビリティが低下している。

Gerstner は、「改善された修正が施されたとしても、このアプローチは理想的ではないと考えている。なぜなら、上流側でプロキシ化された、すべてのメソッドに対する適切なメンテナンスが必要となるからだ。後日、新しいメソッドが追加された場合において、セキュリティ上の問題が再発する可能性がある」と指摘している。

彼は、「この認証バイパスの脆弱性は、dde-api-proxy の設計に深く根付いているため、修正は困難である」と述べ、より堅牢なソリューションの必要性を強調している。

Deepin D-Bus の脆弱性にパッチが適用されましたが、そこにも欠陥が含まれているとのことです。他のソリューションへの移行も推奨されているようです。ご利用のチームは、ご注意ください。よろしければ、2024/01/01 の「Deepin Linux の脆弱性 CVE-2023-50255:Archive Manager に潜む脅威と PoC」も、ご参照ください。