La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) se trasladó esta semana a agregar una vulnerabilidad de Linux denominada PwnKit a su Catálogo de vulnerabilidades explotadas conocidascitando evidencia de explotación activa.
El problema, rastreado como CVE-2021-4034 (puntuación CVSS: 7,8), salió a la luz en enero de 2022 y se refiere a un caso de escalada de privilegios locales en la utilidad pkexec de polkit, que permite a un usuario autorizado ejecutar comandos como otro usuario.
Polkit (anteriormente llamado PolicyKit) es un conjunto de herramientas para controlar los privilegios de todo el sistema en sistemas operativos similares a Unix y proporciona un mecanismo para que los procesos sin privilegios se comuniquen con los procesos privilegiados.
La explotación exitosa de la falla podría inducir a pkexec a ejecutar código arbitrario, otorgando a un atacante sin privilegios derechos administrativos en la máquina de destino y comprometiendo al host.
No está claro de inmediato cómo se está armando la vulnerabilidad en la naturaleza, ni hay información sobre la identidad del actor de amenazas que puede estar explotándola.
También se incluye en el catálogo CVE-2021-30533una deficiencia de seguridad en los navegadores web basados en Chromium que fue aprovechada por un actor de amenazas de publicidad maliciosa denominado Yosec para entregar cargas útiles peligrosas el año pasado.
Además, la agencia agregó el día cero Mitel VoIP recientemente revelado (CVE-2022-29499), así como cinco vulnerabilidades de Apple iOS (CVE-2018-4344, CVE-2019-8605, CVE-2020-9907, CVE-2020- 3837 y CVE-2021-30983) que recientemente se descubrió que habían sido objeto de abuso por parte del proveedor italiano de spyware RCS Lab.
Para mitigar cualquier riesgo potencial de exposición a ciberataques, se recomienda que las organizaciones den prioridad a la corrección oportuna de los problemas. Sin embargo, las agencias del poder ejecutivo federal civil deben parchear obligatoriamente la falla antes del 18 de julio de 2022.