Linux, faille critique d'élévation de privilèges (root) en local
-
Une vulnérabilité critique de corruption de mémoire a été découverte après plus de 12 ans dans un programme présent dans pratiquement toutes les variantes de Linux. Voici le commentaire de Steve Povolny, Principal Engineer & Head of Advanced Threat Research, chez Trellix :
« Nous voici dans la quatrième semaine de janvier 2022, mais il pourrait bien s’agir du quatrième mois, tant le début d’année a été dense en vulnérabilités critiques. Le nouveau phénomène est le dénommé CVE-2021-4034, également connu sous le nom de « PwnKit ». Cette vulnérabilité, contrairement à d’autres failles récentes, est reconnue pour sa facilité d’exploitation et sa large surface d’attaque, bien qu’elle soit limitée à l’augmentation de privilèges locaux. Présent sur presque toutes les variantes du système d’exploitation Linux, le bug a été introduit il y a plus de 12 ans sur la version initiale de l’outil vulnérable où il a été signalé pour la première fois, mais pas corrigé, quelques années plus tard. Ce n’est que fin 2021 qu’il a été redécouvert et exploité par les chercheurs de Qualys.
Bien qu’elle ne soit pas exploitable sur le réseau, et donc sur Internet, la faille est susceptible d’être largement utilisée, car elle permet à n’importe quel utilisateur d’obtenir facilement le plus haut niveau de privilèges (root) sur le système cible. Obtenir un accès initial via un compte non privilégié peut être aussi facile que d’acheter sur le dark web des informations d’identification volées lors de tentatives d’intrusions passées. Associée à cette vulnérabilité permettant d’exécuter du code en tant que super-utilisateur, les attaquants chercheront à l’intégrer rapidement dans des logiciels malveillants et des rootkits pour obtenir une chaîne d’exploitation complète.
Étant donné qu’une grande partie de l’infrastructure qui fait fonctionner Internet est basée sur une version de Linux, l’exposition à la menace est massive. Des correctifs pour les variantes du système d’exploitation seront probablement disponibles rapidement mais en attendant, il existe des mesures d’atténuation temporaires pour désactiver les composants nécessaires à l’exploitation. Notre recommandation est de donner la priorité à ce problème pour l’application de correctifs ! »
Source: https://www.undernews.fr/alertes-securite/pwnkit-une-faille-largement-exploitable.html
-
MAJ de sécurité déjà disponible depuis plusieurs jours pour Debian (Et Cie) ainsi que RedHat.
-
@ze-lol Il veut mieux le savoir deux fois que de l’ignorer
-
C’est la première tâche de ma journée: Vérifier et faire les Mises à jours sur tous mes serveurs.
Je pourrais - et devrais - déléguer, mais c’est trop sérieux pour être laissé entre n’importe quelles mains…La plupart de temps je découvre les failles de sécurité après les avoir corrigé…
-
– Un Proof Of Concept en C ici: https://github.com/berdav/CVE-2021-4034
– Un autre en Python ICI: https://github.com/joeammond/CVE-2021-4034
– Pour patcher manuellement: https://gitlab.freedesktop.org/polkit/polkit/-/commit/a2bf5c9c83b6ae46cbd5c779d3055bff81ded683
– Si vous avez un système un peu à la traine, vous pouvez en attendant utiliser cette commande pour neutraliser l’exploitation de pkexec :
chmod 0755 /usr/bin/pkexec
– Si vous avez un doute, vous pouvez vérifier les logs afin d’être certain que la vulnérabilité n’a pas été exploitée, cherchez les chaines suivantes dedans :
The value for the SHELL variable was not found the /etc/shells file The value for environment variable […] contains suspicious content.
– Tous les détails techniques ici :