Rilevare CVE-2021-4034: Una Notoria Vulnerabilità PwnKit che Colpisce Tutte le Principali Distribuzioni Linux
Indice:
Ciò che accade al buio deve venire alla luce. Gli esperti di sicurezza hanno rivelato un bug particolarmente pericoloso di 12 anni che colpisce quasi tutti gli host Linux. Il difetto consente l’accesso completo come root su letteralmente qualsiasi macchina Linux per un attore minaccioso locale e senza privilegi se sfruttato con successo.
Descrizione di CVE-2021-4034 (PwnKit)
Mentre il dominio cibernetico si sta ancora riprendendo dal disastro di log4j, ora i professionisti della sicurezza devono affrontare un altro problema di sicurezza di portata e scala simili. Il bug, tracciato come CVE-2021-4034, è stato introdotto con il primissimo commit della funzione pkexec di Polkit nel 2009, colpendo tutte le versioni esistenti di Polkit.
Polkit (precedentemente PolicyKit) è un elemento nativo dei sistemi operativi simili a Unix utilizzato per definire e gestire le autorizzazioni. Come parte di questo framework di app open source, la funzione pkexec offre la possibilità di lanciare comandi con i massimi privilegi. Di conseguenza, il problema di corruzione della memoria PwnKit offre agli avversari la possibilità di acquisire diritti di root su sistemi che sfruttano le configurazioni di default di Polkit. Sebbene non ci sia un’opzione per lo sfruttamento remoto, qualsiasi utente locale può sfruttare immediatamente CVE-2021-4034, afferma l’ analisi di Qualys.
È stato confermato che CentOS, Debian, Fedora e Ubuntu sono esposti. Si prevede che anche altri sistemi operativi Linux siano impattati.
Sfruttamento di PwnKit
Durante la loro indagine, gli esperti di Qualys hanno elaborato un exploit PoC funzionante per CVE-2021-4034. Tuttavia, poiché la routine di sfruttamento è semplice, gli esperti di sicurezza hanno deciso di non rilasciare pubblicamente il PoC per PwnKit.
Eppure, niente resta sepolto per sempre. Solo poche ore dopo la pubblicazione del rapporto di Qualys, una valanga di PoC è emersa. Secondo i media, questi exploit sono completamente funzionali e affidabili. Inoltre, l’analista di CERT/CC Will Dormann si riferisce agli exploit come semplici e universali, provando ancora una volta che dobbiamo aspettarci rapidamente uno sfruttamento massiccio in natura.
Rilevamento e Mitigazione di CVE-2021-4034 (PwnKit)
Gli esperti di Qualys hanno segnalato il temibile bug a metà novembre 2021, e una patch è stata emessa nel gennaio 2022. Gli utenti sono invitati ad aggiornare le loro installazioni il prima possibile a causa della criticità della falla di sicurezza e di una routine di sfruttamento diretta.
La patch dei manutentori di Polkit è stata già posizionata su GitLab. Inoltre, poiché le distribuzioni Linux vi hanno avuto accesso in anticipo, gli aggiornamenti di Ubuntu and Red Hat sono già stati resi pubblici per migliorare le protezioni contro la falla PwnKit.
Per identificare possibili tentativi di sfruttamento e proteggere l’infrastruttura della tua azienda dagli attacchi PwnKit, opta per scaricare un insieme di regole Sigma curate dal Team SOC Prime. Le rilevazioni di seguito identificano il comportamento anormale correlato allo sfruttamento di PwnKit e sono disponibili gratuitamente sulla piattaforma Detection as Code di SOC Prime:
L’elenco dinamicamente aggiornato delle regole di rilevamento per CVE-2021-4034 (PwnKit) è disponibile tramite questo link.
Unisciti gratuitamente alla piattaforma Detection as Code di SOC Prime per cercare le ultime minacce nel tuo ambiente SIEM o XDR, migliorare la tua copertura delle minacce raggiungendo i contenuti più rilevanti allineati con la matrice MITRE ATT&CK, e in generale, potenziare le capacità di difesa informatica dell’organizzazione. Sei un autore di contenuti? Sfrutta il potere della più grande comunità di difesa informatica del mondo unendoti al programma Threat Bounty di SOC Prime, dove i ricercatori possono monetizzare i propri contenuti di rilevamento.
