rsyslog/syslog 配置文件权限检查漏洞

漏洞信息

漏洞名称： rsyslog/syslog 配置文件权限检查漏洞

漏洞类型： 配置问题

漏洞等级： 高危

漏洞描述： 该漏洞涉及Linux系统中的rsyslog/syslog配置文件（/etc/rsyslog.conf或/etc/syslog.conf）的所有权和权限设置不当问题。rsyslog/syslog是Linux系统中广泛使用的日志记录服务，负责收集、处理和存储系统日志信息，是企业级服务和常见Web应用组件中不可或缺的一部分。

漏洞的技术根源在于，如果这些配置文件不被root用户所有或权限设置不安全（如权限过于宽松），攻击者可能会利用这一点修改日志记录设置，从而隐藏其恶意活动，避免被检测。这种配置问题属于CWE-732类别，即关键资源的错误权限分配。

从影响分析来看，此漏洞可能导致严重的安全风险。攻击者通过修改日志配置，可以绕过安全监控，进行未授权的活动而不留痕迹。这不仅增加了攻击的隐蔽性，还可能使得后续的安全审计和事件响应变得困难。由于漏洞涉及的是系统关键配置文件，且通常需要一定的权限才能利用，因此其利用条件相对较高。然而，一旦被利用，其影响范围广泛，可能导致信息泄露、服务中断等严重后果。

产品名称： rsyslog/syslog

来源： https://github.com/projectdiscovery/nuclei-templates/blob/dfc176303ffebe3d9f231045fa3abe2cf2ca9874/misconfiguration%2Flinux%2Fetc-rsyslogconf-permission-check.yaml

类型： projectdiscovery/nuclei-templates:github issues

POC详情

id: etc-rsyslogconf-permission-check

info:
  name: /etc/(r)syslog.conf File Owner and Permission Check
  author: songyaeji
  severity: high
  description: >
    If the /etc/syslog.conf or /etc/rsyslog.conf file is not owned by root or has insecure permissions,
    attackers may manipulate logging settings to avoid detection.
  reference:
    - https://isms.kisa.or.kr
    - KISA Cloud Vulnerability Assessment Guide (2024)
  tags: linux,configuration,logging,permissions,rsyslog,syslog
  metadata:
    verified: true
    os: linux
    max-request: 2
  classification:
    cwe-id: CWE-732
    cvss-metrics: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
    cvss-score: 7.4

self-contained: true

code:
  - engine:
      - bash
    source: |
      stat -c "%U %G %a" /etc/rsyslog.conf 2>/dev/null || echo "not-found"
    matchers:
      - type: regex
        part: code_1_response
        regex:
          - '^root\s+root\s+([0-5]?[0-9]{2}|644)$'

  - engine:
      - bash
    source: |
      stat -c "%U %G %a" /etc/syslog.conf 2>/dev/null || echo "not-found"
    matchers:
      - type: regex
        part: code_2_response
        regex:
          - '^root\s+root\s+([0-5]?[0-9]{2}|644)$'