Cronpocalypse

A escalação de privilégios no Linux através da exploração de tarefas cron é um dos caminhos de ataque mais comumente encontrados em testes de penetração reais. O Cron é o agendador de tarefas do Linux que executa scripts e comandos em intervalos especificados, e quando essas tarefas agendadas são mal configuradas - executando com privilégios elevados enquanto são modificáveis por usuários não privilegiados - elas se tornam um caminho confiável do acesso inicial ao controle total do sistema como root.

Entendendo as tarefas Cron e seus riscos de segurança

O daemon cron lê a configuração de agendamento de vários locais: crontabs do sistema em /etc/crontab e /etc/cron.d/, crontabs por usuário gerenciadas com o comando crontab, e diretórios periódicos como /etc/cron.daily/ e /etc/cron.hourly/. Cada entrada especifica quando um comando deve ser executado e com quais privilégios de usuário. O risco de segurança surge quando uma tarefa cron é executada como root mas referencia um script que um usuário com menos privilégios pode modificar. Ao injetar comandos maliciosos nesse script, o código do atacante é executado com privilégios root na próxima execução agendada.

Padrões comuns de má configuração incluem scripts com permissão de escrita para todos chamados por tarefas cron root, uso de caracteres curinga em comandos cron que permite injeção de argumentos, caminhos relativos que permitem sequestro de caminho, e scripts que importam ou incluem arquivos de locais com permissão de escrita. Cada um desses padrões foi explorado em violações reais e aparece frequentemente em testes de penetração em ambientes Linux corporativos.

Metodologia de escalação de privilégios Linux

A descoberta de oportunidades de escalação de privilégios baseadas em cron segue uma metodologia sistemática. Após obter acesso inicial, os atacantes enumeram todas as tarefas agendadas lendo arquivos crontab, listando diretórios cron periódicos e monitorando a execução de processos com ferramentas como pspy. Cada tarefa cron descoberta é analisada quanto ao usuário de execução, o script ou comando sendo executado, permissões de arquivo nos scripts referenciados, e quaisquer caminhos com permissão de escrita na cadeia de execução. Quando um script modificável executado como root é encontrado, o atacante o modifica para executar um reverse shell, copiar um arquivo flag ou adicionar sua chave SSH às authorized_keys do root.

Fortalecimento da segurança das tarefas Cron

Administradores de sistemas podem prevenir a escalação de privilégios baseada em cron garantindo permissões de arquivo rigorosas em todos os scripts referenciados por tarefas cron root, usando caminhos absolutos nas entradas cron, evitando caracteres curinga em comandos cron, auditando regularmente as tarefas agendadas quanto a problemas de permissão, e implementando monitoramento de integridade de arquivos em scripts críticos do sistema.