Error de Alta Gravedad en Linux Permite Escalamiento de Privilegios a Root
Tabla de contenidos:
Un notorio agujero de seguridad en el servicio de sistema de autenticación polkit expone a la mayoría de las distribuciones modernas de Linux al riesgo de ataques de escalada de privilegios. Un problema de alta gravedad (CVE-2021-3560) permite a un hacker obtener derechos de root mediante un conjunto de comandos simples en la terminal. El error ha sido confirmado en Red Hat Enterprise Linux, Fedora, Debian y Ubuntu. Sin embargo, la buena noticia es que el parche fue emitido el 3 de junio de 2021.
Descripción de CVE-2021-3560
Según la investigación de Kevin Backhouse, un experto en GitHub Security Lab, CVE-2021-3560 fue introducido hace casi una década con el lanzamiento de polkit versión 0.113. La razón de que haya pasado desapercibido durante tanto tiempo es que las distribuciones modernas de Linux no habían distribuido la versión defectuosa de polkit hasta hace poco.
La falla en sí es un problema de omisión de autenticación que ocurre debido al mal manejo de las solicitudes de autorización interrumpidas por procesos con menores privilegios. Como resultado, un hacker sin privilegios puede obtener un shell de root al lanzar ataques de sincronización. Cabe destacar que la rutina de explotación es simple. Los adversarios solo requieren herramientas estándar como bash, kill o dbus-send y un par de comandos en la terminal. Kevin Backhouse lanzó un video de una prueba de concepto (PoC) de explotación de esta falla, que demuestra una forma fácil y rápida de activarla.
Actualmente, se ha encontrado que distros de Linux como RHEL 8, Fedora 21 (y posteriores), Ubuntu 20.04, Red Hat Enterprise Linux 8 junto con Debian testing (“bullseye”) están afectadas. La simplicidad de la explotación y el gran número de instalaciones vulnerables hacen que esta falla sea altamente peligrosa. Se insta a los usuarios a parchear lo antes posible ya que no hay mitigaciones posibles para este problema.
Detección de CVE-2021-3560
Para asegurar su infraestructura y detectar comandos maliciosos utilizados en la escalada de privilegios manual, puede descargar una exclusiva versión de regla Sigma del equipo de SOC Prime.
https://tdm.socprime.com/tdm/info/OzudSRuln53K/#sigma
La regla tiene traducciones a los siguientes idiomas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
Tácticas: Escalada de privilegios
Técnicas: Explotación para Escalada de Privilegios (T1068)
¡Obtén una suscripción gratuita a Threat Detection Marketplace para mejorar tus capacidades de defensa cibernética! Nuestra biblioteca de contenido SOC agrega más de 100K algoritmos de detección y respuesta mapeados directamente a los marcos CVE y MITRE ATT&CK® para que puedas resistir los notorios ciberataques en las etapas más tempranas de la intrusión. ¿Estás entusiasmado por crear tus propias detecciones? ¡Únete a nuestro programa Threat Bounty por un futuro más seguro!
