Detectar CVE-2021-4034: Una Notoria Vulnerabilidad PwnKit que Afecta a Todas las Principales Distribuciones de Linux
Tabla de contenidos:
Lo que ocurre en la oscuridad debe salir a la luz. Los expertos en seguridad han revelado un error especialmente peligroso de 12 años que afecta a casi todos los hosts de Linux. El fallo permite acceso absoluto de root en literalmente cualquier máquina Linux para un actor de amenaza local sin privilegios si se explota con éxito.
Descripción de CVE-2021-4034 (PwnKit)
Mientras el dominio cibernético sigue recuperándose del desastre de log4j, ahora los profesionales de la seguridad tienen otro problema de seguridad de alcance y escala similares que enfrentar. El error, rastreado como CVE-2021-4034, se introdujo con el primer commit de la función pkexec de Polkit en 2009, afectando a todas las versiones existentes de Polkit.
Polkit (anteriormente PolicyKit) es un elemento nativo de los sistemas operativos tipo Unix empleado para definir y manejar autorizaciones. Como parte de este marco de aplicaciones de código abierto, la función pkexec ofrece la capacidad de ejecutar comandos con los mayores privilegios. En consecuencia, el problema de corrupción de memoria PwnKit ofrece a los adversarios la capacidad de obtener derechos de root en sistemas que utilizan las configuraciones predeterminadas de Polkit. Aunque no hay opción de explotación remota, cualquier usuario local puede explotar instantáneamente CVE-2021-4034, dice el análisis de Qualys.
Se confirmó que CentOS, Debian, Fedora y Ubuntu estaban expuestos. Se espera que otros sistemas operativos Linux también se vean afectados.
Explotación de PwnKit
Durante su investigación, los expertos de Qualys desarrollaron un exploit PoC funcional para CVE-2021-4034. Sin embargo, dado que la rutina de explotación es sencilla, los expertos en seguridad decidieron no publicar el PoC para PwnKit.
Sin embargo, nada permanece oculto para siempre. Tan solo un par de horas después de que se publicara el informe de Qualys, una avalancha de PoC se desató. Según medios de comunicación, estos exploits son completamente funcionales y confiables. Además, el analista de CERT/CC, Will Dormann, se refiere a los exploits como tanto simples como universales, probando una vez más que debemos esperar rápidamente una explotación masiva en el mundo real.
Detección y Mitigación de CVE-2021-4034 (PwnKit)
Los expertos de Qualys informaron sobre el desagradable error a mediados de noviembre de 2021 y un parche para él fue emitido en enero de 2022. Se insta a los usuarios a actualizar sus instalaciones lo antes posible debido a la criticidad del agujero de seguridad y a una rutina de explotación sencilla.
El parche de los mantenedores de Polkit ya ha sido colocado en GitLab.Además, como las distribuciones de Linux accedieron a él de antemano, Ubuntu and y Red Hat ya han hecho públicas sus actualizaciones para mejorar las protecciones contra el fallo PwnKit.
Para identificar posibles intentos de explotación y proteger la infraestructura de su empresa contra ataques de PwnKit, opte por descargar un conjunto de reglas Sigma seleccionadas por el equipo de SOC Prime. Las detecciones a continuación identifican el comportamiento anormal relacionado con la explotación de PwnKit y están disponibles de forma gratuita en la plataforma SOC Prime Detection as Code:
La lista actualizada dinámicamente de reglas de detección para CVE-2021-4034 (PwnKit) está disponible a través de este enlace..
Únase a la plataforma Detection as Code de SOC Prime de forma gratuita para buscar las últimas amenazas en su entorno SIEM o XDR, mejorar su cobertura de amenazas alcanzando el contenido más relevante alineado con la matriz ATT&CK de MITRE, y en general, potenciar las capacidades de defensa cibernética de la organización. ¿Es usted un autor de contenido? Aproveche el poder de la comunidad de defensa cibernética más grande del mundo uniéndose al programa SOC Prime Threat Bounty, donde los investigadores pueden monetizar su propio contenido de detección.
