Faille de Haute Gravité dans Linux Permet l’Escalade de Privilèges vers Root
Table des matières :
Une faille de sécurité notoire dans le service d’authentification polkit expose la majorité des distributions modernes de Linux au risque d’attaques d’escalade de privilèges. Un problème de gravité élevée (CVE-2021-3560) permet à un hacker d’obtenir les droits root via un ensemble de commandes simples dans le terminal. Le bug a été confirmé dans Red Hat Enterprise Linux, Fedora, Debian et Ubuntu. Cependant, la bonne nouvelle est que le correctif a été publié le 3 juin 2021.
Description de CVE-2021-3560
Selon le recherche de Kevin Backhouse, un expert au GitHub Security Lab, CVE-2021-3560 a été introduit il y a presque dix ans avec la sortie de la version 0.113 de polkit. La raison pour laquelle elle est passée inaperçue pendant si longtemps est que les distributions Linux modernes n’ont pas expédié la version boguée de polkit jusqu’à récemment.
La faille elle-même est un problème de contournement de l’authentification qui se produit en raison d’une mauvaise gestion des demandes d’autorisation interrompues par des processus moins privilégiés. En conséquence, un hacker non privilégié peut obtenir un shell root en lançant des attaques de synchronisation. Notamment, la routine d’exploitation est simple. Les adversaires n’ont besoin que d’outils standard comme bash, kill ou dbus-send et de quelques commandes dans le terminal. Kevin Backhouse a publié une vidéo d’exploit de preuve de concept (PoC) pour cette faille, qui démontre un moyen facile et rapide de la déclencher.
Actuellement, il a été constaté que des distributions Linux comme RHEL 8, Fedora 21 (et plus), Ubuntu 20.04, Red Hat Enterprise Linux 8 ainsi que Debian testing (« bullseye ») sont affectées. L’exploitation simple et un grand nombre d’installations vulnérables rendent cette faille extrêmement dangereuse. Il est urgent que les utilisateurs appliquent le correctif dès que possible car il n’y a pas de mitigations possibles pour ce problème.
Détection CVE-2021-3560
Pour sécuriser votre infrastructure et détecter les commandes malveillantes utilisées dans l’escalade de privilèges manuelle, vous pouvez télécharger une version exclusive de la règle Sigma par l’équipe SOC Prime.
https://tdm.socprime.com/tdm/info/OzudSRuln53K/#sigma
La règle a des traductions dans les langues suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR : SentinelOne, Carbon Black
MITRE ATT&CK :
Tactiques : Escalade de privilèges
Techniques : Exploitation pour l’escalade de privilèges (T1068)
Obtenez un abonnement gratuit à Threat Detection Marketplace pour renforcer vos capacités de défense cybernétique ! Notre bibliothèque de contenu SOC agrège plus de 100K algorithmes de détection et de réponse directement mappés aux cadres CVE et MITRE ATT&CK® pour que vous puissiez résister aux cyberattaques notoires dès les premiers stades d’intrusion. Enthousiasmé par la création de vos propres détections ? Rejoignez notre programme Threat Bounty pour un avenir plus sûr !
