image

PwnKit-kwetsbaarheid in Linux kan lokale gebruiker rootrechten geven

woensdag 26 januari 2022, 14:09 door Redactie, 28 reacties

Onderzoekers hebben een kwetsbaarheid in Linux ontdekt genaamd "PwnKit" waardoor een lokale, ongeprivilegieerde gebruiker rootrechten kan krijgen. Volgens onderzoekers van securitybedrijf Qualys is het beveiligingslek, aangeduid als CVE-2021-4034, een droom voor aanvallers die uitkomt. Er zijn inmiddels beveiligingsupdates beschikbaar gemaakt om het probleem te verhelpen.

Het beveiligingslek is aanwezig in Polkit (eerder bekend als PolicyKit). Dit is een onderdeel voor rechtenbeheer op Unix-achtige besturingssystemen. Het biedt een manier voor ongeprivilegieerde processen om met geprivilegieerde processen te communiceren. Het is ook mogelijk om via polkit commando's met verhoogde rechten uit te voeren. Hiervoor wordt gebruikgemaakt van het pkexec-commando, gevolgd door het uit te voeren commando.

Pkexec bevat sinds de eerste versie in 2009 verscheen een memory-corruption kwetsbaarheid, waardoor een lokale gebruiker via het commando root kan worden. Volgens de onderzoekers is het beveiligingslek een droom voor aanvallers die uitkomt. Pkexec is namelijk standaard aanwezig in alle grote Linux-distributies en alle versies sinds 2009 zijn kwetsbaar. Daarnaast kan elke ongeprivilegieerde gebruiker misbruik van het lek maken, is de exploit betrouwbaar en werkt de aanval ook wanneer de polkit daemon niet draait.

Qualys heeft bij de aankondiging van de PwnKit-kwetsbaarheid geen exploit gepubliceerd. Het bedrijf waarschuwt dat vanwege de eenvoud waarmee het lek is te misbruiken het slechts een kwestie van tijd is voordat anderen dit doen. Inmiddels zijn op internet ook exploits verschenen. Red Hat werd op 18 november vorig jaar over de kwetsbaarheid gewaarschuwd en gisteren verschenen patches. Wanneer updates niet beschikbaar zijn wordt aangeraden om als tijdelijke maatregel via chmod de SUID-bit van pkexec te verwijderen.

Image

Reacties (28)
26-01-2022, 15:18 door Anoniem
Niet alle CentOS distro hebben een update voor polkit zie ik.
Of zit deze niet in elke distro?
26-01-2022, 15:22 door Anoniem
udates kwamen gisteren binnen en doorgevoerd...
26-01-2022, 16:19 door _R0N_
Door Anoniem: Niet alle CentOS distro hebben een update voor polkit zie ik.
Of zit deze niet in elke distro?

7 wel, de rest is EOL.
26-01-2022, 16:34 door Anoniem
Het is opvallend dat als er een belangrijke kwetsbaarheid wordt gevonden deze dan ook snel is opgelost en nog sneller kan worden gepatcht. Daarnaast is het vaak zo dat je bij Linuxservers niet eens als gewone gebruiker mag inloggen (root ook niet trouwens) omdat ze een netwerk dienst leveren. Voor de desktop is het niet spannend (kunnen ook blind worden gepatcht).
Next.
26-01-2022, 16:36 door Anoniem
If no patches are available for your operating system, you can remove the
SUID-bit from pkexec as a temporary mitigation; for example:

# chmod 0755 /usr/bin/pkexec
26-01-2022, 17:52 door Anoniem
Door Anoniem: udates kwamen gisteren binnen en doorgevoerd...

Welke repository gebruik jij? Bij ons is hij er nog niet.
26-01-2022, 17:56 door Anoniem
Ik denk dat er ook voor meerdere linux distro's wel een patch is uitgekomen.
26-01-2022, 18:35 door Anoniem
Door Anoniem: Het is opvallend dat als er een belangrijke kwetsbaarheid wordt gevonden deze dan ook snel is opgelost en nog sneller kan worden gepatcht. Daarnaast is het vaak zo dat je bij Linuxservers niet eens als gewone gebruiker mag inloggen (root ook niet trouwens) omdat ze een netwerk dienst leveren. Voor de desktop is het niet spannend (kunnen ook blind worden gepatcht).
Next.
Niets opvallend aan. Problemen worden eerst gemeld bij de leverancier en wanneer er een oplossing is, wordt het probleem pas publiek bekend gemaakt.
26-01-2022, 18:42 door S.A.T.A.N.
Door Anoniem: Het is opvallend dat als er een belangrijke kwetsbaarheid wordt gevonden deze dan ook snel is opgelost en nog sneller kan worden gepatcht. Daarnaast is het vaak zo dat je bij Linuxservers niet eens als gewone gebruiker mag inloggen (root ook niet trouwens) omdat ze een netwerk dienst leveren. Voor de desktop is het niet spannend (kunnen ook blind worden gepatcht).
Next.

Kwetsbaarheden in Linux zijn inderdaad vaak al opgelost voordat je erover leest.
26-01-2022, 19:12 door Anoniem
Door Toine Janssens:
Door Anoniem: Het is opvallend dat als er een belangrijke kwetsbaarheid wordt gevonden deze dan ook snel is opgelost en nog sneller kan worden gepatcht. Daarnaast is het vaak zo dat je bij Linuxservers niet eens als gewone gebruiker mag inloggen (root ook niet trouwens) omdat ze een netwerk dienst leveren. Voor de desktop is het niet spannend (kunnen ook blind worden gepatcht).
Next.

Kwetsbaarheden in Linux zijn inderdaad vaak al opgelost voordat je erover leest.
Dan moeten ze nog in het veld uitgerold worden. Dat is voor veel appaatuur een issue.
26-01-2022, 20:53 door Anoniem
Raspberry Pi OS, Alma8.5, Rocky8.5, Kali (rolling release), Ubuntu (20.04 en 21.10), RHEL8 en Manjaro heb ik allemaal kunnen patchen vandaag.
26-01-2022, 21:46 door Anoniem
De PolicyKit is in Ubuntu al van een patch voorzien.

Hieronder de lijst:
https://ubuntu.com/security/notices
26-01-2022, 22:21 door Anoniem
Gelukkig bestaat er onder Linux systemen geen "patch tuesday" die één keer per maand wordt vrijgegeven. Nee, gewoon razendsnel opgelost. Hier ook. Alles vanmorgen al voorzien van de update. Echt keurig!
26-01-2022, 22:44 door Anoniem
Door Anoniem: Gelukkig bestaat er onder Linux systemen geen "patch tuesday" die één keer per maand wordt vrijgegeven. Nee, gewoon razendsnel opgelost. Hier ook. Alles vanmorgen al voorzien van de update. Echt keurig!
Weet jij dan, hoelang er tussen melden en een patch zit?
26-01-2022, 23:14 door Anoniem
Door Toine Janssens:
Door Anoniem: Het is opvallend dat als er een belangrijke kwetsbaarheid wordt gevonden deze dan ook snel is opgelost en nog sneller kan worden gepatcht. Daarnaast is het vaak zo dat je bij Linuxservers niet eens als gewone gebruiker mag inloggen (root ook niet trouwens) omdat ze een netwerk dienst leveren. Voor de desktop is het niet spannend (kunnen ook blind worden gepatcht).
Next.

Kwetsbaarheden in Linux zijn inderdaad vaak al opgelost voordat je erover leest.
...en al jaren door aanvallers misbruikt voordat het door een nette onderzoeker ontdekt wordt.
27-01-2022, 07:37 door Anoniem
Door Anoniem: Gelukkig bestaat er onder Linux systemen geen "patch tuesday" die één keer per maand wordt vrijgegeven. Nee, gewoon razendsnel opgelost. Hier ook. Alles vanmorgen al voorzien van de update. Echt keurig!

Dat is toch juist een nadeel: het is onvoorspelbaar!
27-01-2022, 08:41 door Anoniem
Door Anoniem:
Door Anoniem: udates kwamen gisteren binnen en doorgevoerd...

Welke repository gebruik jij? Bij ons is hij er nog niet.

rocky 8
27-01-2022, 08:44 door Anoniem
ironisch genoeg, even ter contrast, bestelde vorige week een printer voor een Linux werkstation en toen kreeg ik te horen dat er geen printers geleverd konden worden omdat de windows 10 printer spooler kwetsbaarheden nog niet opgelost waren... rare wereld hoor!
27-01-2022, 09:38 door Anoniem
Door Anoniem:
Door Anoniem: Gelukkig bestaat er onder Linux systemen geen "patch tuesday" die één keer per maand wordt vrijgegeven. Nee, gewoon razendsnel opgelost. Hier ook. Alles vanmorgen al voorzien van de update. Echt keurig!
Weet jij dan, hoelang er tussen melden en een patch zit?
Dat is natuurlijk een interessante en ook relevante vraag.
27-01-2022, 09:56 door Anoniem
Door Anoniem:
Door Anoniem: Gelukkig bestaat er onder Linux systemen geen "patch tuesday" die één keer per maand wordt vrijgegeven. Nee, gewoon razendsnel opgelost. Hier ook. Alles vanmorgen al voorzien van de update. Echt keurig!

Dat is toch juist een nadeel: het is onvoorspelbaar!
Je kan ook je ogen dicht doen en 1x per maand kijken. Elke dag kunnen patchen! Daarom zijn er zo weinig zero days i.i.i. het andere OS
27-01-2022, 09:57 door Anoniem
Door Anoniem:
Door Toine Janssens:
Door Anoniem: Het is opvallend dat als er een belangrijke kwetsbaarheid wordt gevonden deze dan ook snel is opgelost en nog sneller kan worden gepatcht. Daarnaast is het vaak zo dat je bij Linuxservers niet eens als gewone gebruiker mag inloggen (root ook niet trouwens) omdat ze een netwerk dienst leveren. Voor de desktop is het niet spannend (kunnen ook blind worden gepatcht).
Next.

Kwetsbaarheden in Linux zijn inderdaad vaak al opgelost voordat je erover leest.
...en al jaren door aanvallers misbruikt voordat het door een nette onderzoeker ontdekt wordt.
Niet dus want dat zou terug te vinden moeten zijn in het aandeel ransomware.
27-01-2022, 10:01 door Anoniem
Mooi voorbeeld van een uitstekend patchsysteem zoals het hoort. Binnen 1sec zonder reboot!
27-01-2022, 10:44 door Anoniem
Door Anoniem: Gelukkig bestaat er onder Linux systemen geen "patch tuesday" die één keer per maand wordt vrijgegeven. Nee, gewoon razendsnel opgelost. Hier ook. Alles vanmorgen al voorzien van de update. Echt keurig!

Deed Microsoft eerst ook. Maar daar werd teveel over gezeurd door beheerders/gebruikers. Toen is "patch Tuesday" ingevoerd. Let wel, bij sommigen is het nog erger, die patchen ieder kwartaal een keer. Dat is dus nog veel erger.
27-01-2022, 10:56 door Anoniem
Door Anoniem: If no patches are available for your operating system, you can remove the
SUID-bit from pkexec as a temporary mitigation; for example:

# chmod 0755 /usr/bin/pkexec

top!

Met al die security toevoegingen (waarschijnlijk ook zoals selinux) wordt het alleen maar complexer. De beste beveiliging lijkt me gewoon nog steeds simpel op basis van gescheiden uid. Simpel dus minder kans op fouten.
27-01-2022, 16:26 door Anoniem
Medio juni vorig jaar werd door Anoniem melding gemaakt van eenzelfde probleem met polkit, naar aanleiding van een BleepingComputer.com artikel. De redactie van Security.NL heeft daar toen geen verdere aandacht aan besteed.

Linux polkit local privilege escalation bug maakt root privileges mogelijk
11-06-2021, 18:01 door Anoniem

https://www.security.nl/posting/707311/


Het is zaak om de werking van polkit voortaan beter te monitoren. De code daarvan moet opnieuw een audit ondergaan en de pkexec en pkcheck utilities moeten, bij afwezigheid van SELinux, zonodig binnen een AppArmor profiel.
27-01-2022, 19:06 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Gelukkig bestaat er onder Linux systemen geen "patch tuesday" die één keer per maand wordt vrijgegeven. Nee, gewoon razendsnel opgelost. Hier ook. Alles vanmorgen al voorzien van de update. Echt keurig!

Dat is toch juist een nadeel: het is onvoorspelbaar!
Je kan ook je ogen dicht doen en 1x per maand kijken. Elke dag kunnen patchen! Daarom zijn er zo weinig zero days i.i.i. het andere OS

Zelfs als je meteen kunt patchen zou een 0-day nog steeds een 0-day zijn. 0-day gaat erover of het al misbruikt wordt voordat de patch er was. Dus dat heeft er weinig mee te maken, de 0-day is hooguit langer in omloop.
Probleem van op random momenten releasen is dat iedereen al het werk moet laten vallen (ongepland) en direct aan de slag moet. In plaats van dat je weet dat op dinsdag om 19.00 je een patch kunt verwachten. Je kunt dan dus sneller patchen, want om 19h01 kun je potentieel al klaar zijn en bij een random moment moet je het toch eerst horen.
28-01-2022, 12:32 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Gelukkig bestaat er onder Linux systemen geen "patch tuesday" die één keer per maand wordt vrijgegeven. Nee, gewoon razendsnel opgelost. Hier ook. Alles vanmorgen al voorzien van de update. Echt keurig!

Dat is toch juist een nadeel: het is onvoorspelbaar!
Je kan ook je ogen dicht doen en 1x per maand kijken. Elke dag kunnen patchen! Daarom zijn er zo weinig zero days i.i.i. het andere OS

Zelfs als je meteen kunt patchen zou een 0-day nog steeds een 0-day zijn. 0-day gaat erover of het al misbruikt wordt voordat de patch er was. Dus dat heeft er weinig mee te maken, de 0-day is hooguit langer in omloop.
Probleem van op random momenten releasen is dat iedereen al het werk moet laten vallen (ongepland) en direct aan de slag moet. In plaats van dat je weet dat op dinsdag om 19.00 je een patch kunt verwachten. Je kunt dan dus sneller patchen, want om 19h01 kun je potentieel al klaar zijn en bij een random moment moet je het toch eerst horen.
Jij probeert krampachtig het MS patchbeleid te verdedigen. Het gaat erom dat je moet kunnen patchen als security vindt dat het nodig is en dat kan elke dag of in het weekend zijn. Daarnaast kan je nog steeds een otap straat 1x per maand patchen. Spaar je de low- moderate- en high patches op tot jij er klaar voor bent.
In dit geval gaat het om 1 pakketje van 150k! (https://pkgs.org/download/polkit) Deze kan je binnen 1 sec installeren. Voor windows zou het direct kwa grootte een heel Linux OS zijn (sommigen patchen nooit en deployen een nieuwe image) Dat is inderdaad een hoop gedoe en gaat ook regelmatig fout.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.