Los investigadores de Qualys junto con el equipo de Red Hat Product Security encontraron una vulnerabilidad (CVE-2021-4034 Criticidad 7.8/10) que genera afectación en la herramienta pkexec de polkit anteriormente llamada policykit de linux (se utiliza para controlar los privilegios de todo el sistema), debido a que un atacante local podría escalar privilegios como usuario root. Aunque se requiera tener de un acceso local para poder explotar este riesgo, la vulnerabilidad es crítica, teniendo en cuenta que se ven afectadas la confidencialidad, la integridad y la disponibilidad de la información.

Descripción

Este proceso (pkexec) no maneja correctamente el conteo de parámetros de llamada y proporciona que los procesos no privilegiados se comuniquen de forma organizada con procesos privilegiados, esto hace que un atacante pueda aprovecharse creando variables de entorno de tal manera que inducirá a pkexec a ejecutar código arbitrario. Cuando se ejecuta con éxito, el ataque puede causar una escalada de privilegios locales que otorga a los usuarios sin privilegios derechos administrativos en la máquina de destino.

Vulnerabilidad Linux

Explotabilidad

Aun no se ha socializado el exploit realizado por Qualys, sin embargo, se estima que los resultados de PoC realizadas por otras personas puedan ser publicadas junto con el exploit usado. Adicionalmente, Bojan Zdrnja de SANS ISC, también creó un exploit y lo ejecutó en un sistema Ubuntu versión 20.04 que no ha sido protegido con el parche más reciente. La técnica de Qualys deja rastros en los registros, pero indicaron que es posible explotar esta vulnerabilidad sin dejar rastros.

Puntaje de riesgo CVSS

Recomendaciones

Red Hat Product Security recomienda a los clientes afectados que actualicen el paquete polkit una vez que esté disponible. Para los clientes que no pueden actualizar inmediatamente, el problema se puede mitigar ejecutando los siguientes pasos:

  1. Instale los siguientes paquetes y dependencias systemtap requeridos: https://access.redhat.com/solutions/5441.
  2. Instale la información de depuración de polkit: debuginfo-install polkit
  3. Cree el siguiente script systemtap y asígnele el nombre pkexec-block.stp:

      probe process(“/usr/bin/pkexec”).function(“main”) {

       if (cmdline_arg(1) == “”)

       raise(9);

        }

  1. Cargue el módulo systemtap en el kernel en ejecución:

      stap -g -F -m stap_pkexec_block pkexec-block.stp

  1. Asegúrese de que el módulo esté cargado:

      lsmod | grep -i stap_pkexec_block

      stap_pkexec_block 434176 0

  1. Una vez que el paquete polkit se actualice a la versión que contiene la corrección, elimine el módulo kernel generado por systemtap ejecutando:

      rmmod stap_pkexec_block 

Después de usar el comando rmmod, no es necesario reiniciar el sistema

Exploit ejecutado en un sistema Linux

                   PAQUETES AFECTADOS Y ERRATAS DE SEGURIDAD EMITIDAS POR RED HAT

Tabla 1: Paquetes afectados CVE-2021-4034

Casos de uso *:

  • Seguimiento de actividades de un posible Ataque de día Cero.
  • Reconocimiento y/o Vulnerabilidades.

*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.

Para más información puede consultar las siguientes fuentes asociadas a la noticia: