Een 12 jaar oud beveiligingslek is onthuld in een systeemhulpprogramma genaamd Polkit dat aanvallers rootrechten op Linux-systemen verleent, zelfs als een proof-of-concept (PoC)-exploit in het wild is opgedoken, slechts enkele uren nadat technische details van de bug werd openbaar.
Door cyberbeveiligingsbedrijf Qualys “PwnKit” genoemd, heeft de zwakte gevolgen voor een component in polkit genaamd pkexec, een programma dat standaard is geïnstalleerd op elke grote Linux-distributie zoals Ubuntu, Debian, Fedora en CentOS.
Polkit (vroeger heette Beleidskit) is een toolkit voor het beheren van systeembrede privileges in Unix-achtige besturingssystemen en biedt een mechanisme voor niet-geprivilegieerde processen om te communiceren met geprivilegieerde processen.
“Deze kwetsbaarheid stelt elke onbevoorrechte gebruiker in staat om volledige rootrechten op een kwetsbare host te verkrijgen door deze kwetsbaarheid in de standaardconfiguratie te misbruiken”, zegt Bharat Jogi, directeur kwetsbaarheids- en bedreigingsonderzoek bij Qualys, zeitoevoegend dat het “al 12+ jaar in het zicht verborgen is en van invloed is op alle versies van pkexec sinds de eerste versie in mei 2009.”
De fout, die betrekking heeft op een geval van geheugenbeschadiging en waaraan de identifier CVE-2021-4034 is toegewezen, werd op 18 november 2021 gemeld aan Linux-leveranciers, waarna patches zijn uitgegeven door rode Hoed en Ubuntu.
pkexecanaloog aan de sudo command, stelt een geautoriseerde gebruiker in staat om commando’s uit te voeren als een andere gebruiker, een verdubbeling als alternatief voor sudo. Als er geen gebruikersnaam is opgegeven, wordt de uit te voeren opdracht uitgevoerd als de administratieve supergebruiker, root.
PwnKit komt voort uit een out-of-bounds schrijven die de herintroductie van “onveilige” omgevingsvariabelen in de omgeving van pkexec mogelijk maakt. Hoewel dit beveiligingslek niet op afstand kan worden misbruikt, kan een aanvaller die al via een andere manier voet aan de grond heeft gekregen op een systeem, de fout bewapenen om volledige rootrechten te verkrijgen.
Complicerende zaken is de opkomst van een PoC in het wild, die CERT/CC-kwetsbaarheidsanalist Will Dormann genaamd “eenvoudig en universeel”, waardoor het absoluut noodzakelijk is dat de patches zo snel mogelijk worden toegepast om potentiële bedreigingen in te dammen.
De ontwikkeling markeert de tweede beveiligingsfout die in evenveel jaren in Polkit is ontdekt. In juni 2021 onthulde GitHub-beveiligingsonderzoeker Kevin Backhouse details van een zeven jaar oude kwetsbaarheid voor escalatie van bevoegdheden (CVE-2021-3560) die zou kunnen worden misbruikt om machtigingen naar de rootgebruiker te escaleren.
Bovendien komt de onthulling ook dicht op de hielen van een beveiligingsfout die de Linux-kernel aantast (CVE-2022-0185) die kan worden misbruikt door een aanvaller met toegang tot een systeem als een onbevoegde gebruiker om die rechten te escaleren om te rooten en uit containers te breken in Kubernetes-configuraties.
