Source : oss-sec (mailing list). Dans un post signé par “turistu” le 16 décembre 2025, un rapport technique décrit CVE-2025-14282 affectant le serveur SSH Dropbear en mode multi-utilisateur.

• Problème principal : Dropbear exécute les redirections de sockets (TCP/UNIX) en tant que root durant l’authentification et avant le spawn du shell, ne basculant de manière permanente vers l’utilisateur connecté qu’ensuite. Avec l’ajout récent du forwarding vers des sockets de domaine UNIX (commit 1d5f63c), un utilisateur SSH authentifié peut se connecter à n’importe quel socket UNIX avec les identifiants root, contournant les permissions du système de fichiers et les contrôles SO_PEERCRED / SO_PASSCRED.

• Impact : Il est possible, sur la plupart des systèmes, d’aboutir à une élévation de privilèges jusqu’à root. Le rapport illustre aussi qu’avec OpenSSH, des usages similaires permettent de contourner les restrictions de shell de l’utilisateur (ForceCommand, command=…), mais uniquement sous les propres identifiants de l’utilisateur, sans élévation.

• Démonstration (PoC) : L’auteur montre un scénario sur une Debian “trixie” avec Dropbear (port 222), un utilisateur non privilégié, et un script Perl envoyant un message D-Bus vers /run/systemd/private pour lancer un service transitoire, conduisant à un shell root.

• Mesures temporaires et correctifs : Le contournement provisoire proposé est de désactiver tous les forwardings (TCP, UNIX, X11, agent, etc.) par défaut et d’utiliser le mode mono-utilisateur si besoin. Le correctif durable consiste à définir de manière irrévocable l’uid/gid/groupes de l’utilisateur connecté avant tout forwarding ou lecture de fichiers utilisateur. Le simple va-et-vient d’uid/gid n’est pas suffisant, notamment car SO_PASSCRED est vérifié à chaque lecture, et des groupes supplémentaires (dont 0) peuvent rester effectifs.

• Références et code : Le message cite des liens vers un correctif artisanal antérieur (commit cfb81a0), l’activation du forwarding UNIX (commit 1d5f63c) et des emplacements dans le code de Dropbear (svr-agentfwd.c, svr-authpubkey.c) illustrant les limites de l’approche actuelle. L’article est une divulgation technique visant à documenter l’impact et proposer des pistes de correction.

IOC et TTPs:

  • TTPs:
    • Abus du forwarding SSH vers un socket UNIX local.
    • Utilisation de D-Bus systemd via le socket /run/systemd/private pour démarrer une unité transitoire.
    • Contournement des contrôles SO_PEERCRED/SO_PASSCRED dû à l’exécution des forwardings en root.
  • IOCs:
    • Chemin impliqué dans le PoC: /run/systemd/private.

Type d’article : divulgation/rapport technique visant à décrire une vulnérabilité et ses implications.

🧠 TTPs et IOCs détectés

TTP

Abus du forwarding SSH vers un socket UNIX local, Utilisation de D-Bus systemd via le socket /run/systemd/private pour démarrer une unité transitoire, Contournement des contrôles SO_PEERCRED/SO_PASSCRED dû à l’exécution des forwardings en root

IOC

/run/systemd/private

🔗 Source originale : https://seclists.org/oss-sec/2025/q4/281