27 gennaio 2022: CyberHoot ha indagato su una vulnerabilità di Linux tracciata come CVE-2021-4034 che è presente nella maggior parte delle distribuzioni Linux, porta all'aumento dei privilegi fino a root ed è banale da sfruttare (anche se altri hanno tentato di identificare un metodo senza successo in passato). Questa vulnerabilità è presente nella maggior parte delle distribuzioni Linux da 12 anni ed esiste come bug di corruzione della memoria sfruttabile. Il CVE ha un Punteggio di criticità CVSS di 7.8 e si trova in Funzione pkexec di Polkit. I ricercatori di sicurezza di Qualys hanno scoperto questa falla lo scorso ottobre e l'hanno segnalata a tutti i produttori Linux, dando loro il tempo di rilasciare una patch. Ciò è avvenuto e la vulnerabilità è stata annunciata a livello mondiale il 27 gennaio. Se applicate patch mensili alle vostre distribuzioni Linux, potreste aver già risolto questo problema. In ogni caso, CyberHoot consiglia di verificare per esserne certi.
Polkit (precedentemente PolicyKit) fornisce un modo organizzato per consentire ai processi non privilegiati di comunicare con i processi privilegiati e può essere utilizzato per eseguire comandi con privilegi elevati utilizzando il comando pkexec, seguito dal comando che si desidera eseguire (con permessi di root). Questa vulnerabilità consente essenzialmente a qualsiasi utente non privilegiato di ottenere privilegi amministrativi completi su un host vulnerabile sfruttando questa vulnerabilità nella sua configurazione predefinita.
I ricercatori che hanno scoperto il bug hanno detto in un rapporto di aver sviluppato un exploit proof-of-concept (PoC) e ottenuto privilegi di root completi sulle installazioni predefinite di CentOS, Debian, Fedora e Ubuntu. Ritengono inoltre che altre distribuzioni Linux siano "probabilmente vulnerabili e probabilmente sfruttabili".
Applicate patch ai vostri sistemi Linux il prima possibile. La maggior parte delle distribuzioni Linux ha rilasciato soluzioni per questo problema da quando ne è venuta a conoscenza nell'ottobre 2021. RedHat ha descritto una soluzione alternativa nella sua pubblicazione. Qui. che pubblichiamo anche di seguito. Ecco i link alle informazioni di consulenza e di patch per Red Hat, Debian, e Ubuntu.
Dato il grande superficie di attacco Per quanto riguarda questa vulnerabilità, CyberHoot raccomanda vivamente di applicare le patch a tutte le macchine Linux il più rapidamente possibile. Ciò significa entro i prossimi giorni. Si prevede che exploit pubblici saranno visibili molto rapidamente, data l'attenzione che questa vulnerabilità sta ricevendo.
Se le patch non sono disponibili o non è possibile applicare la patch per qualsiasi motivo, ecco un passaggio di mitigazione che puoi adottare: "Rimuovi il bit SUID da pkexec come mitigazione temporanea", I ricercatori hanno suggerito, fornendo questo esempio:
# chmod 0755 /usr/bin/pkexec
Se sei un abbonato ai servizi CyberHoot, avrai accesso alla nostra libreria di policy e processi, che contiene il documento sulla gestione degli avvisi di vulnerabilità. Questo documento descrive come rispondere a situazioni come questa e in quale arco di tempo. Se la tua azienda non ha ancora adottato un processo di tipo VAMP, ora è il momento giusto per iniziare.
Scopri e condividi le ultime tendenze, i suggerimenti e le best practice in materia di sicurezza informatica, oltre alle nuove minacce a cui prestare attenzione.
La stagione delle tasse tiene occupati i commercialisti, ma tiene occupati anche i truffatori. All'inizio di quest'estate, uno studio di commercialisti è diventato...
Leggi di più
I ricercatori erano alla ricerca di un falso programma di upscaling fotografico e hanno trovato qualcosa di strano: un kit ransomware e un modello di intelligenza artificiale...
Leggi di più
Da quattro anni, CyberHoot sostiene la stessa cosa sul suo blog: le password sono un grave punto debole. Vengono riutilizzate...
Leggi di piùOttieni una visione più attenta dei rischi per l'uomo, con un approccio positivo che supera i tradizionali test di phishing.
