rsyslog/syslog 配置文件权限检查漏洞

漏洞信息

漏洞名称： rsyslog/syslog 配置文件权限检查漏洞

漏洞类型： 配置问题

漏洞等级： 高危

漏洞描述： 该漏洞涉及Linux系统中的rsyslog或syslog配置文件（/etc/rsyslog.conf或/etc/syslog.conf）的所有权和权限设置不当问题。rsyslog和syslog是Linux系统中广泛使用的日志记录服务，负责收集、处理和存储系统日志信息，是系统监控和安全审计的重要组成部分。

漏洞的技术根源在于，如果这些配置文件不是由root用户拥有，或者权限设置过于宽松（如非644权限），攻击者可能会利用这一点修改日志记录设置，从而隐藏其恶意活动，避免被检测到。这种配置问题属于CWE-732类别，即关键资源的错误权限分配。

从影响分析来看，此漏洞虽然需要本地访问权限（PR:H），但一旦被利用，攻击者可以操纵日志记录行为，导致安全监控失效，严重威胁系统的安全性和完整性。由于日志记录是安全审计和事件响应的重要依据，此类漏洞的利用可能导致安全事件无法被及时发现和响应，增加了系统被长期控制的风险。此外，考虑到rsyslog和syslog在Linux系统中的普遍使用，此漏洞的影响范围较广，需要系统管理员高度重视并及时修复。

产品名称： rsyslog/syslog

来源： https://github.com/projectdiscovery/nuclei-templates/blob/1dc5e4c5a7e3689548a72d7cb2a00b803fccc824/misconfiguration%2Flinux%2Fetc-rsyslogconf-permission-check.yaml

类型： projectdiscovery/nuclei-templates:github issues

POC详情

id: etc-rsyslogconf-permission-check

info:
  name: /etc/(r)syslog.conf File Owner and Permission Check
  author: songyaeji
  severity: high
  description: >
    If the /etc/syslog.conf or /etc/rsyslog.conf file is not owned by root or has insecure permissions,
    attackers may manipulate logging settings to avoid detection.
  reference:
    - https://isms.kisa.or.kr
    - KISA Cloud Vulnerability Assessment Guide (2024)
  tags: linux,configuration,logging,permissions,rsyslog,syslog
  metadata:
    verified: true
    os: linux
    max-request: 2
  classification:
    cwe-id: CWE-732
    cvss-metrics: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
    cvss-score: 7.4

self-contained: true

code:
  - engine:
      - bash
    source: |
      stat -c "%U %G %a" /etc/rsyslog.conf 2>/dev/null || echo "not-found"
    matchers:
      - type: regex
        part: code_1_response
        regex:
          - '^root\s+root\s+([0-5]?[0-9]{2}|644)$'

  - engine:
      - bash
    source: |
      stat -c "%U %G %a" /etc/syslog.conf 2>/dev/null || echo "not-found"
    matchers:
      - type: regex
        part: code_2_response
        regex:
          - '^root\s+root\s+([0-5]?[0-9]{2}|644)$'