Vulnerabilità PwnKit CVE-2021-4034 pkexec

effeti

Moderatore
Membro dello Staff
Vulnerabilità PwnKit CVE-2021-4034 (BL01/220126/CSIRT-ITA)

Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (79,73/100)1.

Tipologia
  • Privilege Escalation
Descrizione
Il componente pkexec del pacchetto polkit è un eseguibile presente sulle principali distribuzioni di Linux e Unix-like il quale permette di eseguire programmi usando i privilegi di un altro utente, compreso l’utente root.

La vulnerabilità in oggetto, per la quale si evidenzia la presenza online di un Proof of Concept (PoC), riguarda una porzione di codice presente sin dalla prima pubblicazione del pacchetto - risalente all’anno 2009 – e potrebbe permettere l’ottenimento dei privilegi di root anche senza l’ausilio di script di compromissione.

Potenziali impatti
Dal bollettino di sicurezza Qualys si evince che i test di compromissione sono stati effettuati sulle distribuzioni Ubuntu, Debian, Fedora e CentOS, la vulnerabilità potrebbe essere presente anche in altri sistemi operativi Unix-like.

Analisi e monitoraggio
Lo sfruttamento della vulnerabilità potrebbe lasciare traccia sui log di sistema.

Si riporta di seguito il messaggio ricercabile quale possibile indicatore di compromissione:
  • “The value for the SHELL variable was not found the /etc/shells file”;
  • “The value for environment variable […] contains suspicious content”.
Si sottolinea che la presenza di tali messaggi non è da considerare come unico indicatore di compromissione, in quanto la stessa potrebbe essere riconducibile a misconfiguration di altri software.

Risulta comunque possibile sfruttare tale vulnerabilità anche senza lasciare alcuna evidenza.

Prodotti e versioni affette
Sistemi operativi Unix-like che contengono il pacchetto affetto. Tale pacchetto è presente nelle distribuzioni Linux più diffuse ed è stato testato per Ubuntu, Debian, Fedora e CentOS. Per alcune distribuzioni considerate in “end-of-life” non è previsto l’aggiornamento (es. Ubuntu 21.04).

Mitigazioni
È possibile aggiornare il pacchetto polkit seguendo le istruzioni del vendor.

Qualora l’aggiornamento del sistema operativo risulti essere impossibile o inapplicabile è possibile limitare l’esecuzione di pkexec al solo utente root eseguendo il comando di seguito riportato. Tale misura di mitigazione potrebbe comportare malfunzionamenti applicativi, si consiglia pertanto di valutarne l’impatto in base allo specifico contesto di utilizzo.
  • chmod 0755 /usr/bin/pkexec
Identificatori univoci vulnerabilità

CVE-2021-4034

Riferimenti
https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt
https://manpages.debian.org/testing/policykit-1/pkexec.1.en.html



https://access.redhat.com/errata/RHSA-2022:0269
https://access.redhat.com/security/cve/CVE-2021-4034

  1. La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
Fonte: CSIRT Italia
 
Indietro
Alto Basso