Vulnerabilità PwnKit CVE-2021-4034 (BL01/220126/CSIRT-ITA)
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (79,73/100)1.
Tipologia
Il componente pkexec del pacchetto polkit è un eseguibile presente sulle principali distribuzioni di Linux e Unix-like il quale permette di eseguire programmi usando i privilegi di un altro utente, compreso l’utente root.
La vulnerabilità in oggetto, per la quale si evidenzia la presenza online di un Proof of Concept (PoC), riguarda una porzione di codice presente sin dalla prima pubblicazione del pacchetto - risalente all’anno 2009 – e potrebbe permettere l’ottenimento dei privilegi di root anche senza l’ausilio di script di compromissione.
Potenziali impatti
Dal bollettino di sicurezza Qualys si evince che i test di compromissione sono stati effettuati sulle distribuzioni Ubuntu, Debian, Fedora e CentOS, la vulnerabilità potrebbe essere presente anche in altri sistemi operativi Unix-like.
Analisi e monitoraggio
Lo sfruttamento della vulnerabilità potrebbe lasciare traccia sui log di sistema.
Si riporta di seguito il messaggio ricercabile quale possibile indicatore di compromissione:
Risulta comunque possibile sfruttare tale vulnerabilità anche senza lasciare alcuna evidenza.
Prodotti e versioni affette
Sistemi operativi Unix-like che contengono il pacchetto affetto. Tale pacchetto è presente nelle distribuzioni Linux più diffuse ed è stato testato per Ubuntu, Debian, Fedora e CentOS. Per alcune distribuzioni considerate in “end-of-life” non è previsto l’aggiornamento (es. Ubuntu 21.04).
Mitigazioni
È possibile aggiornare il pacchetto polkit seguendo le istruzioni del vendor.
Qualora l’aggiornamento del sistema operativo risulti essere impossibile o inapplicabile è possibile limitare l’esecuzione di pkexec al solo utente root eseguendo il comando di seguito riportato. Tale misura di mitigazione potrebbe comportare malfunzionamenti applicativi, si consiglia pertanto di valutarne l’impatto in base allo specifico contesto di utilizzo.
CVE-2021-4034
Riferimenti
https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt
https://manpages.debian.org/testing/policykit-1/pkexec.1.en.html
blog.qualys.com
ubuntu.com
https://access.redhat.com/errata/RHSA-2022:0269
https://access.redhat.com/security/cve/CVE-2021-4034
access.redhat.com
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (79,73/100)1.
Tipologia
- Privilege Escalation
Il componente pkexec del pacchetto polkit è un eseguibile presente sulle principali distribuzioni di Linux e Unix-like il quale permette di eseguire programmi usando i privilegi di un altro utente, compreso l’utente root.
La vulnerabilità in oggetto, per la quale si evidenzia la presenza online di un Proof of Concept (PoC), riguarda una porzione di codice presente sin dalla prima pubblicazione del pacchetto - risalente all’anno 2009 – e potrebbe permettere l’ottenimento dei privilegi di root anche senza l’ausilio di script di compromissione.
Potenziali impatti
Dal bollettino di sicurezza Qualys si evince che i test di compromissione sono stati effettuati sulle distribuzioni Ubuntu, Debian, Fedora e CentOS, la vulnerabilità potrebbe essere presente anche in altri sistemi operativi Unix-like.
Analisi e monitoraggio
Lo sfruttamento della vulnerabilità potrebbe lasciare traccia sui log di sistema.
Si riporta di seguito il messaggio ricercabile quale possibile indicatore di compromissione:
- “The value for the SHELL variable was not found the /etc/shells file”;
- “The value for environment variable […] contains suspicious content”.
Risulta comunque possibile sfruttare tale vulnerabilità anche senza lasciare alcuna evidenza.
Prodotti e versioni affette
Sistemi operativi Unix-like che contengono il pacchetto affetto. Tale pacchetto è presente nelle distribuzioni Linux più diffuse ed è stato testato per Ubuntu, Debian, Fedora e CentOS. Per alcune distribuzioni considerate in “end-of-life” non è previsto l’aggiornamento (es. Ubuntu 21.04).
Mitigazioni
È possibile aggiornare il pacchetto polkit seguendo le istruzioni del vendor.
Qualora l’aggiornamento del sistema operativo risulti essere impossibile o inapplicabile è possibile limitare l’esecuzione di pkexec al solo utente root eseguendo il comando di seguito riportato. Tale misura di mitigazione potrebbe comportare malfunzionamenti applicativi, si consiglia pertanto di valutarne l’impatto in base allo specifico contesto di utilizzo.
- chmod 0755 /usr/bin/pkexec
CVE-2021-4034
Riferimenti
https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt
https://manpages.debian.org/testing/policykit-1/pkexec.1.en.html
PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034) | Qualys Security Blog
The Qualys Research Team has discovered a memory corruption vulnerability in polkit's pkexec, a SUID-root program that is installed by default on every major Linux distribution.
blog.qualys.com
CVE-2021-4034 | Ubuntu
Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.
ubuntu.com
https://access.redhat.com/errata/RHSA-2022:0269
https://access.redhat.com/security/cve/CVE-2021-4034
RHSB-2022-001 Polkit Privilege Escalation - (CVE-2021-4034) - Red Hat Customer Portal
Access Red Hat’s knowledge, guidance, and support through your subscription.
- La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.