Détecter CVE-2021-4034 : Une Vulnérabilité Notoire PwnKit Affectant Toutes les Principales Distributions Linux
Table des matières :
Ce qui se passe dans l’ombre doit se révéler à la lumière. Les experts en sécurité ont révélé un bug particulièrement dangereux vieux de 12 ans affectant presque tous les hôtes Linux. La faille permet un accès root complet sur littéralement n’importe quelle machine Linux pour un acteur de menace local sans privilèges s’il est exploité avec succès.
CVE-2021-4034 (PwnKit) Description
Alors que le domaine cybernétique se remet encore du désastre log4j, les professionnels de la sécurité doivent maintenant faire face à un autre problème de sécurité de portée et d’envergure similaires. Le bug, suivi sous le nom de CVE-2021-4034, a été introduit avec le tout premier commit de la fonction pkexec de Polkit en 2009, affectant toutes les versions existantes de Polkit.
Polkit (anciennement PolicyKit) est un élément natif des systèmes d’exploitation de type Unix utilisé pour définir et gérer les autorisations. Dans le cadre de ce cadre d’application open source, la fonction pkexec offre la possibilité de lancer des commandes avec les privilèges les plus élevés. Par conséquent, le problème de corruption de la mémoire PwnKit offre aux adversaires la possibilité d’obtenir des droits root sur les systèmes utilisant les configurations Polkit par défaut. Bien qu’il n’y ait pas d’option pour une exploitation à distance, tout utilisateur local peut exploiter instantanément CVE-2021-4034, selon l’analyse de Qualys. analyse par Qualys.
CentOS, Debian, Fedora et Ubuntu ont été confirmés comme exposés. D’autres systèmes d’exploitation Linux devraient également être impactés.
Exploitation de PwnKit
Lors de leur enquête, les experts de Qualys ont mis au point un exploit PoC fonctionnel pour CVE-2021-4034. Cependant, étant donné que la routine d’exploitation est facile, les experts en sécurité ont décidé de ne pas publier publiquement le PoC pour PwnKit.
Cependant, rien ne reste enfoui pour toujours. Quelques heures seulement après la mise en ligne du rapport de Qualys, une avalanche de PoC a éclaté. Selon les médias, ces exploits sont pleinement fonctionnels et fiables. En outre, l’analyste du CERT/CC Will Dormann fait référence aux exploits comme étant à la fois simples et universels, prouvant encore une fois que nous devrions nous attendre rapidement à une exploitation massive à grande échelle.
Détection et Atténuation de CVE-2021-4034 (PwnKit)
Les experts de Qualys ont signalé le vilain bug à la mi-novembre 2021, et un correctif pour celui-ci a été publié en janvier 2022. Les utilisateurs sont invités à mettre à jour leurs installations dès que possible en raison de la nature critique de la faille de sécurité et de la simplicité de la routine d’exploitation.
Le correctif par les mainteneurs de Polkit a déjà été déposé sur GitLab.De plus, comme les distributions Linux y ont eu accès à l’avance, Ubuntu and et Red Hat ont déjà rendu publics les mises à jour pour améliorer les protections contre la faille PwnKit.
Pour identifier les tentatives d’exploitation possibles et protéger l’infrastructure de votre entreprise contre les attaques PwnKit, choisissez de télécharger un ensemble de règles Sigma sélectionnées par l’équipe SOC Prime. Les détections ci-dessous identifient le comportement anormal lié à l’exploitation de PwnKit et sont disponibles gratuitement sur la plateforme SOC Prime Detection as Code :
La liste mise à jour dynamiquement des règles de détection pour CVE-2021-4034 (PwnKit) est disponible à ce lien.
Rejoignez la plateforme Detection as Code de SOC Prime gratuitement pour rechercher les dernières menaces dans votre environnement SIEM ou XDR, améliorez votre couverture de menace en accédant au contenu le plus pertinent aligné avec la matrice MITRE ATT&CK, et globalement, renforcez les capacités de défense cyber de l’organisation. Vous êtes un auteur de contenu ? Exploitez le pouvoir de la plus grande communauté de défense cybernétique du monde en rejoignant le programme Threat Bounty de SOC Prime, où les chercheurs peuvent monétiser leur contenu de détection.
