Nivel de criticidad: crítico
El Centro de Operaciones de Ciberseguridad – CSOC-CERT de Gamma Ingenieros informa sobre diferentes vulnerabilidades detectadas en productos Linux.
Antecedentes: desde el equipo de investigación de Qualys se ha descubierto una vulnerabilidad de corrupción de memoria en pkexec de polkit, un programa raíz de SUID que se instala de forma predeterminada en todas las principales distribuciones de Linux. Es fácilmente explotable y permite que cualquier usuario sin autenticar obtenga privilegios completos de root en un host vulnerable.
Vulnerabilidad: se descubrió la vulnerabilidad en Polkit, componente que cuenta con pkexec, una herramienta que permite a un usuario sin privilegios ejecutar comandos como si fuera un usuario autorizado y con los máximos privilegios. La vulnerabilidad fue registrada como CVE- 2021-4034 y apodada PwnKit.
Importante: Polkit (anteriormente PolicyKit) es un componente para controlar los permisos de todo el conjunto de programas en sistemas operativos similares a Unix; proporcionando una forma organizada para que los procesos no privilegiados y privilegiados se comuniquen. Una particularidad es que existe desde 2009, por lo que afecta a todas las versiones de Polkit.
La explotación exitosa de esta CVE permite a un usuario local sin privilegios obtener acceso root en el host vulnerable.
| CVE PUNTUACIÓN: | CVE-2021-40444 |
| CRITICIDAD: | CVSS:7.8 |
| TIPO: | Local Privilege Escalation Vulnerability |
| PRODUCTOS AFECTADOS: | Linux |
| VERSIONES AFECTADAS: | Ubuntu, Debian, Fedora, CentOS y otros. |
Investigadores de Qualys, responsables del hallazgo, desarrollaron un exploit y comprobaron que podían obtener privilegios root en
Ubuntu, Debian, Fedora y CentOS. También aseguran que probablemente otras distribuciones de Linux sean vulnerables a PwnKit, algunas pruebas han detectado esta falla también en equipos de Apple.
Evidencia de explotabilidad: en la siguiente imagen podemos ver una captura de la explotación de la vulnerabilidad.
Recomendaciones y mitigación:
• Dada la amplitud de la superficie de ataque de esta vulnerabilidad en los sistemas operativos Linux, se recomienda que los usuarios apliquen parches de manera inmediata, ingresando en las páginas de los desarrolladores de la distribución Linux instalada y buscando el parche que remedia la vulnerabilidad.
• Desde el equipo de CSOC-CERT de Gamma Ingenieros recomendamos tener en cuenta que si no ha recibido la actualización correspondiente y teme ser víctima de esta vulnerabilidad, es clave cambiar los permisos del pkexec de 4755 a 755, validando las consecuencias que pueda tener este cambio en su sistema antes de efectuarlo.
• Debe restablecer los permisos al recibir las actualizaciones de seguridad en su sistema y si desea realizar pruebas al interior de su empresa, en las referencias se anexa el GitHub con el script para la ejecución de la vulnerabilidad.
Puede ampliar la información visitando: • https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkitlocal-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034 • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4034 • https://github.com/berdav/CVE-2021-4034 • https://access.redhat.com/security/cve/CVE-2021-4034
