Falha de Alta Gravidade no Linux Permite Escalonamento de Privilégios para Root
Índice:
Um conhecido problema de segurança no serviço de sistema de autenticação polkit expõe a maioria das distribuições Linux modernas ao risco de ataques de escalonamento de privilégios. Um problema de alta gravidade (CVE-2021-3560) permite que um hacker obtenha direitos de root através de um conjunto de comandos simples no terminal. O bug foi confirmado no Red Hat Enterprise Linux, Fedora, Debian e Ubuntu. Contudo, a boa notícia é que a correção foi lançada em 3 de junho de 2021.
Descrição do CVE-2021-3560
De acordo com a pesquisa de Kevin Backhouse, um especialista do GitHub Security Lab, o CVE-2021-3560 foi introduzido há quase uma década com o lançamento da versão 0.113 do polkit. A razão pela qual passou despercebido por tanto tempo é que as distribuições Linux modernas não enviaram a versão defeituosa do polkit até recentemente.
A falha em si é um problema de bypass de autenticação que ocorre devido ao manuseio incorreto de solicitações de autorização interrompidas por processos com privilégios mais baixos. Como resultado, um hacker não privilegiado pode obter um shell de root lançando ataques de temporização. Notavelmente, a rotina de exploração é direta. Os adversários necessitam apenas de ferramentas padrão como bash, kill ou dbus-send e alguns comandos no terminal. Kevin Backhouse lançou um vídeo de uma prova de conceito (PoC) de exploração desta falha, que demonstra uma maneira fácil e rápida de acioná-la.
Atualmente, foram encontradas afetadas distribuições Linux como RHEL 8, Fedora 21 (e posteriores), Ubuntu 20.04, Red Hat Enterprise Linux 8 juntamente com o teste Debian (“bullseye”). A exploração simples e um grande número de instalações vulneráveis tornam esta falha altamente perigosa. Os usuários são instados a aplicar a correção o mais rápido possível, pois não há mitigação possível para este problema.
Detecção do CVE-2021-3560
Para proteger sua infraestrutura e detectar comandos maliciosos usados em escalonamento manual de privilégios, você pode baixar uma versão exclusiva da regra Sigma pela equipe SOC Prime.
https://tdm.socprime.com/tdm/info/OzudSRuln53K/#sigma
A regra tem traduções para os seguintes idiomas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
Táticas: Escalonamento de Privilégios
Técnicas: Exploração para Escalonamento de Privilégios (T1068)
Obtenha uma assinatura gratuita do Threat Detection Marketplace para aumentar suas capacidades de defesa cibernética! Nossa biblioteca de conteúdo SOC agrega mais de 100K algoritmos de detecção e resposta mapeados diretamente para as estruturas CVE e MITRE ATT&CK® para que você possa resistir aos notórios ciberataques nos primeiros estágios da intrusão. Entusiasmado para criar suas próprias detecções? Junte-se ao nosso programa Threat Bounty para um futuro mais seguro!
