High Severity Bug in Linux Enables Privilege Escalation to Root
Indice:
Una vulnerabilità nota nel servizio di autenticazione polkit espone la maggior parte delle distribuzioni Linux moderne al rischio di attacchi di escalation dei privilegi. Un problema di alta gravità (CVE-2021-3560) consente a un hacker di ottenere diritti di root tramite una serie di semplici comandi nel terminale. Il bug è stato confermato in Red Hat Enterprise Linux, Fedora, Debian e Ubuntu. Tuttavia, la buona notizia è che la patch è stata rilasciata il 3 giugno 2021.
Descrizione CVE-2021-3560
Secondo il ricerca di Kevin Backhouse, un esperto del GitHub Security Lab, CVE-2021-3560 è stato introdotto quasi un decennio fa con il rilascio della versione 0.113 di polkit. Il motivo per cui è rimasto inosservato per così tanto tempo è che le moderne distribuzioni Linux non hanno fornito la versione difettosa di polkit fino a poco tempo fa.
Il difetto stesso è un problema di bypass dell’autenticazione che si verifica a causa della gestione errata delle richieste di autorizzazione interrotte da parte dei processi con privilegi inferiori. Di conseguenza, un hacker senza privilegi può ottenere una shell di root lanciando attacchi a tempo. Notoriamente, la routine di sfruttamento è semplice. Gli avversari necessitano solo di strumenti standard come bash, kill o dbus-send e un paio di comandi nel terminale. Kevin Backhouse ha rilasciato un video di un exploit proof-of-concept (PoC) per questo difetto, che dimostra un modo facile e rapido per attivarlo.
Attualmente, distribuzioni Linux come RHEL 8, Fedora 21 (e successive), Ubuntu 20.04, Red Hat Enterprise Linux 8 insieme a Debian testing (“bullseye”) sono state trovate colpite. L’esploitazione semplice e un numero ampio di installazioni vulnerabili rendono questo difetto altamente pericoloso. Gli utenti sono esortati a correggere il problema il prima possibile poiché esistono nessuna mitigazione possibile per questo problema.
Rilevamento CVE-2021-3560
Per proteggere la tua infrastruttura e rilevare comandi malevoli utilizzati nell’escalation manuale dei privilegi, puoi scaricare un’esclusiva release di regola Sigma dal Team SOC Prime.
https://tdm.socprime.com/tdm/info/OzudSRuln53K/#sigma
La regola ha traduzioni nelle seguenti lingue:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
Tattiche: Escalation dei Privilegi
Tecniche: Exploitation per l’Escalation dei Privilegi (T1068)
Ottieni un abbonamento gratuito a Threat Detection Marketplace per potenziare le tue capacità di difesa informatica! La nostra libreria di contenuti SOC aggrega oltre 100K algoritmi di rilevamento e risposta mappati direttamente ai framework CVE e MITRE ATT&CK® in modo da poter resistere ai famosi attacchi informatici nelle prime fasi dell’intrusione. Sei appassionato di creare le tue rilevazioni? Unisciti al nostro programma Threat Bounty per un futuro più sicuro!
