La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en ingl\u00e9s) se traslad\u00f3 esta semana a agregar<\/a> una vulnerabilidad de Linux denominada PwnKit<\/strong> a su Cat\u00e1logo de vulnerabilidades explotadas conocidas<\/a>citando evidencia de explotaci\u00f3n activa.<\/p>\n El problema, rastreado como CVE-2021-4034<\/a> (puntuaci\u00f3n CVSS: 7,8), sali\u00f3 a la luz en enero de 2022 y se refiere a un caso de escalada de privilegios locales en la utilidad pkexec de polkit, que permite a un usuario autorizado ejecutar comandos como otro usuario.<\/p>\n Polkit (anteriormente llamado PolicyKit) es un conjunto de herramientas para controlar los privilegios de todo el sistema en sistemas operativos similares a Unix y proporciona un mecanismo para que los procesos sin privilegios se comuniquen con los procesos privilegiados.<\/p>\n La explotaci\u00f3n exitosa de la falla podr\u00eda inducir a pkexec a ejecutar c\u00f3digo arbitrario, otorgando a un atacante sin privilegios derechos administrativos en la m\u00e1quina de destino y comprometiendo al host.<\/p>\n No est\u00e1 claro de inmediato c\u00f3mo se est\u00e1 armando la vulnerabilidad en la naturaleza, ni hay informaci\u00f3n sobre la identidad del actor de amenazas que puede estar explot\u00e1ndola.<\/p>\n Tambi\u00e9n se incluye en el cat\u00e1logo CVE-2021-30533<\/a>una deficiencia de seguridad en los navegadores web basados \u200b\u200ben Chromium que fue aprovechada por un actor de amenazas de publicidad maliciosa denominado Yosec para entregar cargas \u00fatiles peligrosas el a\u00f1o pasado.<\/p>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n