Informes
Informamos a nuestra comunidad que recientemente se detectó una vulnerabilidad en las plataformas basadas en el Sistema Operativo Linux, la cual permite el escalamiento de privilegios a través de una herramienta distribuida en paquetes que actualmente está incluida en la mayoría de las distribuciones de Linux.
Se recomienda realizar los troubleshooting correspondientes a cada distribución, aplicando las BEST PRACTICES.
DETALLE TÉCNICO
Se comprobó que las distribuciones de Linux Ubuntu, Debian, Fedora y Centos, con su configuración por defecto, son vulnerables hacia este tipo de explotación.
Polkit, es parte de los paquetes predeterminados que actualmente están en la mayoría de las distribuciones de Linux. Se lo conoce como PolicyKit, y es un componente para controlar los privilegios de todo el OS, desarrollado para establecer comunicación entre procesos no privilegiados y privilegiados, dando una organización a este tipo de procesos.
Un usuario puede usar pkexec como alternativa a sudo. Si un usuario sin privilegios desea ejecutar un comando con privilegios de raíz, el usuario debe anteponer pkexec al comando que se pretende ejecutar. El comando Pkexec permite que un usuario no autorizado ejecute un comando como otro usuario. Si no se especifica ningún nombre de usuario, el comando se ejecutará como root.
Esto está asociado a la vulnerabilidad CVE-2021-4034, la cual se debe al manejo inadecuado de los argumentos de la línea de comandos por parte de la herramienta pkexec. Existe una vulnerabilidad de corrupción de memoria en el comando pkexec de polkit que permite a un usuario no autorizado ejecutar un comando como otro usuario.
Sin embargo, esta vulnerabilidad no se puede explotar de forma remota. El atacante debe tener acceso a la máquina para aprovecharse de ella.
Se comprobó mediante la explotación exitosa por medio de la investigación del equipo de Qualys, que las distribuciones de Linux afectadas son Ubuntu, Debian, Fedora, Centos. Por ello, se considera que todas aquellas versiones de Polkit desde 2009 en adelante son vulnerables.
Se detallan las distribuciones afectadas:
Red Hat:
- Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 7
- Red Hat Enterprise Linux 8
- Red Hat Virtualización 4
Ubuntu:
- Ubuntu 21.10
- Ubuntu 20.04
- Ubuntu 18.04
- Ubuntu 16.04
- Ubuntu 14.04
Suse:
- HPE Helion Openstack 8
- SUSE Plataforma CaaS 4.0
- SUSE almacenamiento empresarial 6
- Almacenamiento empresarial SUSE 7
- SUSE Linux Enterprise Informática de alto rendimiento 15
- SUSE Linux Enterprise Micro 5
- Módulo SUSE Linux Enterprise para el sistema base 15
- SUSE Linux Enterprise Server 12
- SUSE Linux Enterprise Server 15
- SUSE Linux Enterprise Server para aplicaciones SAP 12
- SUSE Linux Enterprise Server para aplicaciones SAP 15
- Kit de desarrollo de software SUSE Linux Enterprise 12
- Administrador de SUSE Proxy 4
- SUSE OpenStack Nube 8
- SUSE OpenStack Nube 9
- Palanca de nube SUSE OpenStack 8
- Palanca de nube SUSE OpenStack 9
- abrirSUSE Salto 15
VERIFICACIÓN DE LA VULNERABILIDAD
Es posible poder verificar si el entorno es vulnerable teniendo la posibilidad de forma local o de verificarlo mediante un script automatizado, realizado por la empresa REDHAT. El script está disponible en:
https://access.redhat.com/sites/default/files/cve-2021-4034--2022-01-25-0936.sh
Para detectarlo localmente se puede seguir el siguiente proceso:
1. Install Git
$ sudo apt install git (Ubuntu)
$ sudo yum install git (RHEL)
2. Clonar el repositorio de explotación desde Github
$ git clone https://github.com/berdav/CVE-2021-4034.git
3. Moverse hacia el directorio ‘CVE-2021-4034’
$ cd CVE-2021-4034/
4. Compilar el script con el comando MAKE
$ make
5. Verificar la vulnerabilidad Polkit Privilege Escalation
$ ./cve-2021-4034
RECOMENDACIONES
Algunas distribuciones han generado una actualización de seguridad y publicado en sus sitios oficiales:
- Ubuntu: https://ubuntu.com/security/notices/USN-5252-1
- RedHat: https://access.redhat.com/security/vulnerabilities/RHSB-2022-001
- Debian: debian.org
- SUSE: suse.com
Se recomienda verificar el entorno, y aplicar las recomendaciones de cada distribución
Adicionalmente, RED HAT, ha generado un playbook que ayuda a implementar la mitigación en los hosts vulnerables:
access.redhat.com
FUENTES:
Para más información no dudes en contactarnos expertos@ransecurity.com
