Nelle ultime ore sono state pubblicate informazioni su una vulnerabilità 0-day battezzata PwnKit (CVE-2021-4034) presente nel componente pkexec di Polkit di tutte le distribuzioni Linux e che permette di ottenere privilegi di root completi sul sistema.
PwnKit è presente in tutte le distribuzioni GNU/Linux da ben 12 anni ossia da quando per la prima volta è stato utilizzato il componente Polkit.
Le distribuzioni Linux hanno una rigida gerarchia di permessi che regolamentano chi può accedere a cosa e in che modo, e dal 2009 i permessi sono gestiti dal componente PolicyKit (Polkit) che negozia l'interazione tra processi privilegiati e non privilegiati.
A causa di PwnKit chiunque può eseguire comandi come superutente, la buona notizia è che questa vulnerabilità non è utilizzabile da remoto.
PwnKit è stata scoperta dall'azienda di sicurezza Qualys e svelata martedì dopo aver informato le principali distribuzioni Linux per permettergli di distribuire una patch di sicurezza per risolvere il problema. Qui e qui maggiori informazioni.
Conviene quindi mettere in sicurezza quanto prima tutte le macchine Linux dato che già iniziano ad esistere degli exploit in grado di sfruttare questa vulnerabilità, come quello compilato a scopo di test da BeingComputer che può essere eseguito sia su macchine x86 che arm.
Come identificare tentativi di sfruttamento di PwnKit
Per capire se qualcuno ha tentato di sfruttare PwnKit occorre controllare i log alla ricerca delle seguenti voci:
- “The value for the SHELL variable was not found the /etc/shells file”
- “The value for environment variable […] contains suspicious content.”
ma come Qualys riporta è anche possibile tentare di utilizzare la vulnerabilità PwnKit senza lasciare tracce nel sistema.
Come mitigare i rischi della vulnerabilità PwnKit
Per risolvere i problemi di sicurezza causati dalla vulnerabilità PwnKit occorre ovviamente installare la relativa patch rilasciata dalle varie distribuzioni Linux.
Se non sono presenti patch per la versione di Linux in uso è allora possibile rimuovere temporaneamente il bit SUID (Set User ID) dal binario pkexec:
# chmod 0755 /usr/bin/pkexeced applicare manualmente la patch che gli autori di PolKit hanno già rilasciato sul loro gitlab.
Se hai necessità di un intervento per prevenire danni da PwnKit contattaci.
Aggiungi un commento