CVE-2021-4034を検出: 主要なすべてのLinuxディストリビューションに影響を与える悪名高きPwnKit脆弱性

暗闇で起こったことは光の下で明らかになるべきです。セキュリティ専門家が明らかにしたのは、ほぼすべてのLinuxホストに影響を及ぼす、特に危険な12年間にわたるバグです。この欠陥は、ローカルかつ特権を持たない脅威アクターが成功裏に悪用することによって、文字通りどんなLinuxマシンでもフルルートアクセスを可能にします。

CVE-2021-4034 (PwnKit) の説明

サイバー領域が log4j の災害からまだ回復している途中である中、今度は同様の範囲と規模のセキュリティ問題に直面しています。このバグは、CVE-2021-4034として追跡されており、2009年にPolkitのpkexec関数の最初のコミット時に導入され、すべての既存のPolkitバージョンに影響を与えています。

Polkit（以前はPolicyKit）は、Unixライクなオペレーティングシステムのネイティブ要素であり、権限を定義して処理するために利用されます。このオープンソースアプリフレームワークの一部として、pkexec関数は最も高い特権でコマンドを実行する機能を提供します。したがって、PwnKitのメモリ破損問題は、デフォルトのPolkit設定を利用したシステムで敵対者がルート権限を得ることを可能にします。リモートでの悪用のオプションはありませんが、CVE-2021-4034はすべてのローカルユーザーによって即座に悪用される可能性があると Qualysの分析. 

CentOS、Debian、Fedora、およびUbuntuが露出していることが確認されました。他のLinuxオペレーティングシステムも影響を受けると予想されています。

PwnKitの悪用

調査の過程で、Qualysの専門家はCVE-2021-4034の動作するPoC（概念実証）エクスプロイトを開発しました。しかし、悪用手順が非常に簡単であるため、セキュリティの専門家はPwnKitのPoCを公にリリースしないことにしました。

しかし、何事も永久に隠されることはありません。Qualysの報告が公開されてからほんの数時間後に、PoCの雪崩が発生しました。報道機関によると、これらのエクスプロイトは完全に機能的で信頼性があります。さらに、CERT/CCアナリストのWill Dormann は これらのエクスプロイトを簡単で普遍的なものとして言及し、大規模な野外での悪用をすぐに期待する必要があることを再度示しています。

CVE-2021-4034 (PwnKit) の検出と緩和

Qualysの専門家は2021年11月中旬にこの厄介なバグを報告し、2022年1月にそれに対するパッチが発行されました。セキュリティホールの重要性と簡単な悪用手順により、ユーザーはできるだけ早くインストールをアップグレードすることが求められています。

Polkitのメンテナによるパッチはすでに GitLabに配置されました。また、Linuxディストリビューションは事前にアクセスしたため、 Ubuntu and Red Hat はPwnKitの欠陥からの保護を強化するために公開されました。

潜在的な悪用の試みを特定し、PwnKit攻撃から企業インフラを保護するために、SOC Prime Teamによる選定されたSigmaルールのセットをダウンロードすることをお勧めします。以下の検出は、PwnKitの悪用に関連する異常な行動を特定し、SOC Prime Detection as Codeプラットフォームで無料で利用できます：

Polkitにおけるローカル特権昇格の脆弱性の可能性（CVE-2021-4034）［キーワード経由］

Polkitにおけるローカル特権昇格の脆弱性の可能性（CVE-2021-4034）［file_event経由］

Polkitにおけるローカル特権昇格の脆弱性の可能性（CVE-2021-4034）［cmdline経由］

CVE-2021-4034 (PwnKit) の検出ルールの動的に更新されたリストはこの リンク.

で利用できます。SOC PrimeのDetection as Codeプラットフォームに無料で参加して、SIEMまたはXDR環境で最新の脅威を検索し、MITRE ATT＆CKマトリックスと整合した最も関連性の高いコンテンツを活用することで、組織のサイバー防御能力を向上させましょう。あなたはコンテンツ作成者ですか？SOC Prime Threat Bountyプログラムに参加して、世界最大のサイバー防御コミュニティの力を活用し、研究者は自分の検出コンテンツを収益化することができます。

プラットフォームへ行く Threat Bountyに参加する