Cronpocalypse

L'escalade de privilèges sous Linux via l'exploitation des tâches cron est l'un des vecteurs d'attaque les plus fréquemment rencontrés lors de tests d'intrusion réels. Cron est le planificateur de tâches Linux qui exécute des scripts et des commandes à des intervalles définis, et lorsque ces tâches planifiées sont mal configurées - exécutées avec des privilèges élevés tout en étant modifiables par des utilisateurs non privilégiés - elles deviennent un chemin fiable de l'accès initial au contrôle total du système en tant que root.

Comprendre les tâches Cron et leurs risques de sécurité

Le démon cron lit la configuration de planification depuis plusieurs emplacements : les crontabs système dans /etc/crontab et /etc/cron.d/, les crontabs par utilisateur gérées avec la commande crontab, et les répertoires périodiques comme /etc/cron.daily/ et /etc/cron.hourly/. Chaque entrée spécifie quand une commande doit s'exécuter et avec quels privilèges utilisateur. Le risque de sécurité survient lorsqu'une tâche cron s'exécute en tant que root mais référence un script qu'un utilisateur moins privilégié peut modifier. En injectant des commandes malveillantes dans ce script, le code de l'attaquant s'exécute avec les privilèges root lors de la prochaine exécution planifiée.

Les schémas de mauvaise configuration courants incluent des scripts accessibles en écriture à tous appelés par des tâches cron root, l'utilisation de caractères génériques dans les commandes cron permettant l'injection d'arguments, des chemins relatifs permettant le détournement de chemin, et des scripts qui sourcent ou incluent des fichiers depuis des emplacements accessibles en écriture. Chacun de ces schémas a été exploité lors de violations réelles et apparaît fréquemment lors de tests d'intrusion dans des environnements Linux d'entreprise.

Méthodologie d'escalade de privilèges Linux

La découverte d'opportunités d'escalade de privilèges basées sur cron suit une méthodologie systématique. Après avoir obtenu l'accès initial, les attaquants énumèrent toutes les tâches planifiées en lisant les fichiers crontab, en listant les répertoires cron périodiques et en surveillant l'exécution des processus avec des outils comme pspy. Chaque tâche cron découverte est analysée pour l'utilisateur d'exécution, le script ou la commande exécutée, les permissions de fichier sur les scripts référencés, et tout chemin accessible en écriture dans la chaîne d'exécution. Lorsqu'un script modifiable exécuté en tant que root est trouvé, l'attaquant le modifie pour exécuter un reverse shell, copier un fichier flag ou ajouter sa clé SSH aux authorized_keys de root.

Renforcement de la sécurité des tâches Cron

Les administrateurs système peuvent prévenir l'escalade de privilèges basée sur cron en assurant des permissions de fichier strictes sur tous les scripts référencés par les tâches cron root, en utilisant des chemins absolus dans les entrées cron, en évitant les caractères génériques dans les commandes cron, en auditant régulièrement les tâches planifiées pour les problèmes de permissions, et en implémentant une surveillance de l'intégrité des fichiers sur les scripts système critiques.