High Severity Bug in Linux Enables Privilege Escalation to Root

polkit認証システムサービスの悪名高いセキュリティホールが、現代のLinuxディストリビューションの大部分を特権昇格攻撃のリスクにさらしています。高深刻度の問題（CVE-2021-3560）は、端末での簡単なコマンドセットを介してハッカーがルート権限を取得することを可能にします。このバグはRed Hat Enterprise Linux、Fedora、Debian、およびUbuntuで確認されています。しかし、嬉しいことに2021年6月3日にパッチが発行されました。

CVE-2021-3560の説明

によると、 リサーチ GitHub Security Labの専門家Kevin Backhouseによると、CVE-2021-3560は約10年前にpolkitバージョン0.113のリリースとともに導入されました。これが長期間見過ごされてきた理由は、最近までバグのあるpolkitバージョンを出荷していなかったためです。

この欠陥自体は、低特権プロセスによる中断された認証要求の誤扱いによって発生する認証回避問題です。その結果、特権のないハッカーがタイミング攻撃を開始することでルートシェルを取得できます。特に、悪用の手順は非常に簡単です。対戦相手はbash、kill、dbus-sendのような標準ツールと端末でのいくつかのコマンドだけで操作できます。Kevin Backhouseは、この欠陥の概念実証（PoC）エクスプロイトのビデオを公開し、それを引き起こす簡単で迅速な方法を示しました。

現在、RHEL 8、Fedora 21（以降）、Ubuntu 20.04、Red Hat Enterprise Linux 8、Debianテスト（“bullseye”）などのLinuxディストリビューションが影響を受けています。シンプルな悪用方法と多数の脆弱なインストールにより、この欠陥は極めて危険です。可能な 緩和策が存在しないため、ユーザーはASAPをパッチするよう促されています。

CVE-2021-3560の検出

インフラストラクチャを保護し、手動で特権を昇格させる悪意のあるコマンドを検出するために、SOC Prime Teamによる独占シグマルールリリースをダウンロードできます。

https://tdm.socprime.com/tdm/info/OzudSRuln53K/#sigma 

このルールは以下の言語に翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye

EDR: SentinelOne, Carbon Black

MITRE ATT&CK:

戦術: 特権昇格

技術: 特権昇格のエクスプロイト (T1068)

サイバー防御能力を強化するために、Threat Detection Marketplaceへの無料サブスクリプションを取得してください！当社のSOCコンテンツライブラリは、CVEおよびMITRE ATT&CK®フレームワークに直接マッピングされた100K以上の検出および応答アルゴリズムを集約しており、侵入の初期段階で悪名高いサイバー攻撃に耐えられます。自分の検出を作成することに興味がありますか？より安全な未来のためにThreat Bountyプログラムに参加しましょう！

プラットフォームへ移動 Threat Bountyに参加