Araştırmacılar, suistimalcilere hedef uç noktalara kök erişimi verebilen yüksek düzeyde bir Linux güvenlik açığından yararlanıldığı konusunda uyardı.
Hata, hemen hemen tüm büyük Linux dağıtımlarında bulunabilen Polkit’in pcexec bileşeninde bulunur. CVE-2021-4034 olarak izlenen kusur, PwnKit olarak adlandırılıyor ve bir bellek bozulması hatası olarak tanımlanıyor.
Varsayılan kurulumlarla Linux sistemlerinde tehdit aktörlerine tam kök ayrıcalıkları sağlar. Dahası, tehdit aktörleri, güvenliği ihlal edilen uç noktada iz bırakmadan hatadan yararlanabilir.
NIST güvenlik danışma belgesinde, “pkexec’in mevcut sürümü, çağıran parametre sayısını doğru şekilde işlemez ve ortam değişkenlerini komut olarak yürütmeye çalışmayı bitirir” diyor.
“Saldırgan, ortam değişkenlerini pkexec’in rastgele kod yürütmesini sağlayacak şekilde işleyerek bundan yararlanabilir. Başarılı bir şekilde yürütüldüğünde, saldırı, ayrıcalıksız kullanıcılara hedef makinede yönetici hakları verildiğinde yerel bir ayrıcalık yükselmesine neden olabilir.
CISA alarm veriyor
Qualys’ten siber güvenlik araştırmacıları, neredeyse 12 yıldır herkesin burnunun dibinde duran kusuru ilk fark eden kişiler oldu. Kusur, ilki 2009’da piyasaya sürülen pkexec’in hemen hemen tüm sürümlerinde bulundu.
Ayrıca bir kavram kanıtının (PoC) çevrimiçi olarak zaten mevcut olduğu söylendi ve Qualys’in Linux yöneticilerini mümkün olan en kısa sürede düzeltmeye teşvik etmesini istedi. Yamalar Polkit geliştirme ekibi tarafından yayınlandı ve GitLab’da bulunabilir.
Siber Güvenlik ve Altyapı Ajansı (CISA) ayrıca kullanıcıları kusurun aktif olarak kötüye kullanıldığı konusunda uyardı, BleeBilgisayar bildirildi. Tüm Federal Sivil İdari Şube Ajanslarına (FCEB) tüm Linux uç noktalarını düzeltmeleri için 18 Temmuz’da sona erecek bir son tarih verdi.
Polkit, Linux’ta sistem genelindeki ayrıcalıkları kontrol etmek için kullanılan bir araçlar setidir ve ayrıcalıklı olmayan ve ayrıcalıklı süreçler arasındaki iletişimi yönetir. Daha önce PolicyKit olarak adlandırılıyordu.
Güvenlik araştırmacıları, kusurun vahşi ortamda kötüye kullanıldığı konusunda uyarıda bulunsalar da, tehdit aktörlerinin kim olduğunu veya kusurları kime karşı kullandıklarını söylemediler.
Aracılığıyla BleeBilgisayar (yeni sekmede açılır)