linux_demon

Una vulnerabilidad revelada recientemente que afecta al componente PolKit ha estado presente en varias distribuciones de Linux durante más de 12 años. La vulnerabilidad se explota fácilmente, dice Bharat Jogi , director del equipo de investigación de Qualys que la descubrió, y permite que cualquier usuario sin privilegios obtenga privilegios completos de raíz en un host vulnerable.

PolKit proporciona un mecanismo para permitir que los procesos sin privilegios se comuniquen con los privilegiados y permitir que los usuarios lo utilicen para ejecutar comandos con privilegios de root con el comando pkexec. Esta última funcionalidad es de naturaleza similar a la más extendida sudo.

Los investigadores de seguridad de Qualys han podido verificar de forma independiente la vulnerabilidad, desarrollar un exploit y obtener privilegios completos de raíz en las instalaciones predeterminadas de Ubuntu, Debian, Fedora y CentOS. Otras distribuciones de Linux son probablemente vulnerables y probablemente explotables.

La raíz de la vulnerabilidad es un problema de corrupción de la memoria en la forma en que pkexecmaneja los argumentos de la línea de comandos. Específicamente, cuando se ejecuta sin argumentos, lo que significa que argces 0, una parte de su mainfunción habilitará una escritura fuera de los límites que, en determinadas condiciones, sobrescribirá su siguiente memoria contigua. Esto pasa a ser envp[0], lo que significa que uno puede inyectar fácilmente una variable pkexecde entorno malicioso en el entorno de .

Qualys no reveló el código que explota la vulnerabilidad, pero dado que la vulnerabilidad es tan fácil de explotar, las explotaciones públicas están disponibles en línea en menos de un día desde la divulgación.

La vulnerabilidad no se puede explotar de forma remota y requiere tener acceso físico a un sistema. Qualys demostró cómo el usuario puede explotar PwnKit nobody, que no tiene ningún privilegio, en una distribución de Linux con parches completos.

El hecho de que PwnKit no se pueda explotar de forma remota provocó algunos comentarios en Reddit que tienden a minimizar su relevancia. De hecho, si bien es cierto que PwnKit por sí solo no será suficiente para tomar el control de un sistema remoto, se sabe que los atacantes suelen explotar varias vulnerabilidades seguidas, denominadas vulnerabilidades en cadena , para finalmente hacerse con el control de un sistema. Esto significa que todos los sistemas afectados deben parchearse lo antes posible.

En el lado bueno de las cosas, hay disponible una mitigación temporal que es realmente trivial de aplicar y consiste en eliminar el bit SUID de la pkexecejecución:

chmod 0755 /usr/bin/pkexec

Desafortunadamente, no siempre es fácil comprobar si se ha instalado una versión parcheada. Si tiene habilitadas las actualizaciones de seguridad automáticas en su sistema, es probable que su sistema ya haya sido parcheado. De lo contrario, debe consultar el aviso de seguridad de su distribución o el registro de cambios del polkitpaquete actualmente instalado en su sistema.

Alternativamente, el propio Qualys fabrica una herramienta, Qualys VMDR , que se utiliza para identificar vulnerabilidades críticas, incluido PwnKit. Si prefiere usar el detector de vulnerabilidades de código abierto Falco , la firma de seguridad Sysdig ha publicado una regla para configurar Falco para detectar PwnKit .

Además de las distribuciones basadas en Linux, la vulnerabilidad también podría afectar a otros sistemas operativos similares a UNIX donde Polkit está disponible, dice Jogi. Sin embargo, los investigadores de Qualys no investigaron su explotabilidad, a excepción de OpenBSD, que no es vulnerable debido a que el núcleo se niega a execve()un programa si argces 0.

 

Fuente: infoq | somoslibres

¿Quién está en línea?

Hay 7830 invitados y ningún miembro en línea