Incidente de seguridad con la herramienta de escalado de privilegios pkexec

Incidente de seguridad con la herramienta de escalado de privilegios pkexec

Se ha detectado un problema de seguridad grave la herramienta de terminal pkexec que controla escalado de privilegios en terminales linux y que viene pre-instalada en todas las grandes distribuciones de Linux como Debian CentOS o Ubuntu. Esta vulnerabilidad permite a los usuarios con una sesión de terminal de privilegios limitados escalar a privilegios totales en el sistema. Es una vulnerabilidad trivialmente explotable que ya tiene pruebas de concepto funcionales en circulación. Todas las versiones de pkexec desde su lanzamiento en 2009 son vulnerables, pero las distribuciones ya están empezando a distribuir parches en sus repositorios.

Alcance

Esta vulnerabilidad es explotable desde cualquier sesión de usuario en una terminal de Linux. No implica un primer paso en una cadena de explotación de vulnerabilidades, pero hace trivial el paso de escalado de privilegios, con lo cual  puede suponer un mayor riesgo en sistemas expuestos a Internet o con software proclive a tener vulnerabilidades (como por ejemplo algunos CRM/CMS populares) y por tanto aumentar la peligrosidad y alcance de otras vulnerabilidades. Todas las versiones de pkexec desde su lanzamiento en 2009 son vulnerables, pero las distribuciones ya están empezando a distribuir parches en sus repositorios.

Indicadores de compromiso

Un posible indicador de compromiso que se ha detectado son entradas de log con el texto “The value for the SHELL variable was not found the /etc/shells file”. Buscar este texto en los logs de sistema puede ser una traza de que la vulnerabilidad ha sido explotada en el sistema donde se analizan los registros.

Parches y mitigaciones

Todas las versiones de pkexec desde su lanzamiento en 2009 son vulnerables, pero las distribuciones ya están empezando a distribuir parches en sus repositorios. Se puede actualizar este paquete desde el gestor de paquetes de la máquina para parchear la vulnerabilidad. Si la distribución que se usa aún no ha publicado un parche, se puede desactivar el escalado de privilegios del binario desactivando su bit de SUID: chmod 0755 pkexec

Fuentes

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4034

https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt

https://isc.sans.edu/diary/rss/28272

 

Geko Cloud

En Geko Cloud somos expertos cloud y trabajamos con metodología DevOps, acompañando a nuestros clientes en todo el proceso desde la migración hasta la gestión en el cloud. ¡Contáctanos sin ningún compromiso!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *