I ricercatori hanno avvertito che una vulnerabilità Linux ad alta gravità in grado di fornire a chi abusa l'accesso root ai dispositivi di destinazione viene sfruttata in natura.
Il difetto è nel componente pcexec di Polkit, che si trova in quasi tutte le principali distribuzioni Linux. Tracciato come CVE-2021-4034, il difetto si chiama PwnKit ed è descritto come un bug di danneggiamento della memoria.
Concede agli attori delle minacce i privilegi di root completi sui sistemi Linux con le impostazioni predefinite. Inoltre, gli hacker possono sfruttare il bug senza lasciare traccia sull'endpoint compromesso.
"L'attuale versione di pkexec non gestisce correttamente il numero di parametri di chiamata e smette di tentare di eseguire variabili di ambiente come comandi", si legge nell'avviso di sicurezza del NIST.
“Un utente malintenzionato può trarne vantaggio creando variabili d'ambiente in modo da indurre pkexec a eseguire codice arbitrario. Se eseguito correttamente, l'attacco può portare all'elevazione locale dei privilegi che conferiscono diritti amministrativi agli utenti non privilegiati sul computer di destinazione.
La CISA lancia l'allarme
I ricercatori di sicurezza informatica di Qualys sono stati i primi a individuare il difetto, che sembra essere sotto il naso di tutti da quasi 12 anni. Il difetto è stato riscontrato praticamente in tutte le versioni di pkexec, la prima delle quali è stata rilasciata nel 2009.
È stato anche affermato che un proof of concept (PoC) è ora disponibile online, spingendo Qualys a sollecitare gli amministratori Linux a correggerlo il prima possibile. Le correzioni sono state rilasciate dal team di sviluppo di Polkit e possono essere trovate su GitLab.
La Cyber Security and Infrastructure Agency (CISA) ha anche avvertito gli utenti che la falla è stata attivamente sfruttata, ha riferito BleepingComputer. Ha dato a tutte le agenzie del Federal Civilian Executive Branch (FCEB) una scadenza, che è il 18 luglio, per riparare tutti i loro terminali Linux.
Polkit è un insieme di strumenti utilizzati per controllare i privilegi a livello di sistema in Linux e gestire le comunicazioni tra processi privilegiati e non privilegiati. In precedenza era chiamato PolicyKit.
Sebbene i ricercatori di sicurezza avvertano che il difetto viene sfruttato in natura, non hanno specificato chi siano gli attori delle minacce o contro chi stanno usando i difetti.
Tramite BleepingComputer (si apre in una nuova scheda)
