Detectar CVE-2021-4034: Uma Notória Vulnerabilidade PwnKit Afetando Todas as Principais Distribuições Linux
Índice:
O que acontece no escuro deve vir à luz. Especialistas em segurança revelaram um bug especialmente perigoso de 12 anos que afeta quase todas as hosts Linux. A falha permite acesso root completo em literalmente qualquer máquina Linux para um ator de ameaça local e não privilegiado, se explorada com sucesso.
CVE-2021-4034 (PwnKit) Descrição
Enquanto o domínio cibernético ainda se recupera do desastre do log4j , agora os profissionais de segurança têm mais um problema de segurança de escopo e escala semelhantes para enfrentar. O bug, rastreado como CVE-2021-4034, foi introduzido com o primeiro commit da função pkexec do Polkit em 2009, afetando todas as versões existentes do Polkit.
Polkit (anteriormente PolicyKit) é um elemento nativo de sistemas operacionais semelhantes ao Unix utilizado para definir e gerenciar autorizações. Como parte deste framework de aplicativo de código aberto, a função pkexec fornece a capacidade de executar comandos com os mais altos privilégios. Consequentemente, o problema de corrupção de memória PwnKit oferece aos adversários a capacidade de obter direitos de root em sistemas que utilizam as configurações padrão do Polkit. Embora não haja opção para exploração remota, qualquer usuário local pode explorar instantaneamente o CVE-2021-4034, diz a análise da Qualys.
CentOS, Debian, Fedora e Ubuntu foram confirmados como expostos. Outros sistemas operacionais Linux também devem ser impactados.
Exploit PwnKit
Durante sua investigação, os especialistas da Qualys desenvolveram um exploit PoC funcional para CVE-2021-4034. No entanto, como a rotina de exploração é simples, os especialistas em segurança decidiram não divulgar publicamente o PoC para PwnKit.
No entanto, nada permanece enterrado para sempre. Apenas algumas horas depois que o relatório da Qualys foi ao ar, uma avalanche de PoCs emergiu. De acordo com veículos de mídia, esses exploits são totalmente funcionais e confiáveis. Além disso, o analista da CERT/CC Will Dormann refere-se aos exploits como simples e universais, novamente provando que devemos esperar rapidamente uma exploração maciça em campo.
CVE-2021-4034 (PwnKit) Detecção e Mitigação
Especialistas da Qualys relataram o bug em meados de novembro de 2021, e um patch para ele foi emitido em janeiro de 2022. Os usuários são instados a atualizar suas instalações o mais rápido possível devido à criticidade do buraco de segurança e à rotina de exploração direta.
O patch pelos mantenedores do Polkit já foi colocado no GitLab. Além disso, como as distribuições Linux o acessaram antecipadamente, as atualizações do Ubuntu and e do Red Hat já foram divulgadas para melhorar as proteções contra a falha do PwnKit.
Para identificar possíveis tentativas de exploração e proteger a infraestrutura da sua empresa contra ataques do PwnKit, opte por baixar um conjunto de regras Sigma curadas pela equipe SOC Prime. As detecções abaixo identificam o comportamento anormal relacionado à exploração do PwnKit e estão disponíveis gratuitamente na plataforma SOC Prime Detection as Code:
A lista atualizada dinamicamente de regras de detecção para CVE-2021-4034 (PwnKit) está disponível neste link.
Junte-se à plataforma Detection as Code da SOC Prime gratuitamente para buscar as ameaças mais recentes no seu ambiente SIEM ou XDR, melhorar sua cobertura de ameaças alcançando o conteúdo mais relevante alinhado com a matriz MITRE ATT&CK e, em geral, aumentar as capacidades de defesa cibernética da organização. É autor de conteúdo? Aproveite o poder da maior comunidade de defesa cibernética do mundo juntando-se ao programa Threat Bounty da SOC Prime, onde os pesquisadores podem monetizar seu próprio conteúdo de detecção.
