În urmă cu câteva zile, vestea a dat asta Echipa de cercetare Qualys a descoperit o vulnerabilitate de corupție a memoriei în polkit pkexec, un program SUID rădăcină care este instalat implicit pe toate distribuțiile majore de Linux.
Această vulnerabilitate uşor de exploatat a permis oricărui utilizator fără privilegii să obțină privilegii root complete pe o gazdă vulnerabilă exploatând această vulnerabilitate în configurația sa implicită.
polkit (cunoscut anterior ca PolicyKit) este o componentă pentru controlul privilegiilor la nivelul întregului sistem pe sisteme de operare asemănătoare Unix. Oferă o modalitate organizată pentru ca procesele neprivilegiate să comunice cu procesele privilegiate, plus că este posibil să utilizați polkit pentru a rula comenzi cu privilegii ridicate folosind comanda pkexec urmată de comanda pe care intenționează să o ruleze (cu permisiunea root).
Despre vulnerabilitate
Vulnerabilitate se află în pkexec, atunci codul tău conține o eroare de manipulare a pointerului, unii dintre care ajung să facă referire la zone de memorie care nu ar trebui. Prin exploatarea acestui defect, este posibil să obțineți privilegii de administrator aproape instantaneu.
Catalogată ca CVE-2021-4034, vulnerabilitatea a primit un scor CVSS de 7,8 și căruia echipa Qualys i-a explicat într-o postare pe blog că:
Defectul pkexec deschide ușa către privilegiile root pentru un atacator. Cercetătorii Qualys, a spus el, au arătat că exploatarea instalărilor implicite de Ubuntu, Debian, Fedora și CentOS, iar alte distribuții Linux sunt, de asemenea, considerate vulnerabile.
„Exploatarea cu succes a acestei vulnerabilități permite oricărui utilizator fără privilegii să obțină privilegii de root pe gazda vulnerabilă. Cercetătorii de securitate Qualys au reușit să verifice în mod independent vulnerabilitatea, să dezvolte un exploit și să obțină privilegii rădăcină complete pe instalările implicite de Ubuntu, Debian, Fedora și CentOS. Alte distribuții Linux sunt probabil vulnerabile și exploatabile. Această vulnerabilitate a fost ascunsă de mai bine de 12 ani și afectează toate versiunile de pkexec de la prima sa lansare în mai 2009 (confirmați c8c3d83, „Adăugați o comandă pkexec(1)”).
„De îndată ce echipa noastră de cercetare a confirmat vulnerabilitatea, Qualys sa angajat să dezvăluie vulnerabilitatea responsabilă și sa coordonat cu furnizorii și distribuțiile open source pentru a anunța vulnerabilitatea.”
Problema apare atunci când funcția main(). de pkexec procesează argumentele liniei de comandă și că argc este zero. Funcția încă încearcă să acceseze lista de argumente și ajunge să încerce să folosească un rgvvoid (ArGument Vector al șirurilor de argumente ale liniei de comandă). Ca rezultat, memoria este citită și scrisă în afara limitelor, pe care un atacator o poate exploata pentru a injecta o variabilă de mediu care poate determina încărcarea unui cod arbitrar.
Faptul că aceste variabile pot fi reintroduse face ca codul să fie vulnerabil. Cel puțin tehnica de exploatare oferită de Qualys (injectarea variabilei GCONV_PATH în mediul pkexec pentru a rula o bibliotecă partajată ca root) lasă urme în fișierele jurnal.
Într-un aviz de securitate, Red Hat a emis următoarea declarație:
„Red Hat este conștient de o vulnerabilitate găsită în pkexec, care permite unui utilizator autentificat să efectueze un atac de creștere a privilegiilor.”
„Riscul principal pentru clienți este potențialul ca un utilizator neprivilegiat să obțină privilegii administrative pe sistemele afectate. Atacatorul trebuie să aibă acces de conectare la sistemul țintă pentru a efectua atacul.”
Merită menționat faptul că vulnerabilitatea fusese deja identificată în 2013 și a fost descris în detaliu într-o postare pe blog, chiar dacă nu a fost furnizat niciun PoC:
„Lol, am scris despre această vulnerabilitate polkit în 2013. Nu am putut găsi o cale de exploatare reală, dar am identificat cauza principală”.
În cele din urmă, dacă sunteți interesat să puteți ști despre asta, puteți consulta detaliile în următorul link.