Bug Linux di Semua Distro Utama: ‘Mimpi Seorang Penyerang Menjadi Kenyataan’

UPDATE

Setiap distribusi Linux utama memiliki bug korupsi memori yang mudah dieksploitasi yang telah mengintai selama 12 tahun – pengungkapan menakjubkan yang kemungkinan akan segera diikuti oleh eksploit di alam liar, para peneliti memperingatkan.

Kerentanan – dilacak sebagai CVE-2021-4034, dengan skor kekritisan CVSS 7,8 – ditemukan dalam fungsi pkexec Polkit. Polkit (sebelumnya PolicyKit) menyediakan cara terorganisir untuk proses non-hak istimewa untuk berkomunikasi dengan proses istimewa, Qualys menjelaskan, dan dapat digunakan untuk menjalankan perintah dengan hak tinggi menggunakan perintah pkexec, diikuti oleh perintah yang dimaksudkan untuk dieksekusi (dengan izin root ). Peneliti

Qualys, yang menemukan tong bubuk yang lama tidak aktif dan menamakannya PwnKit, mengatakan dalam laporan hari Selasa bahwa mereka mengembangkan eksploitasi proof-of-concept (PoC) dan memperoleh hak root penuh pada instalasi default CentOS, Debian, Fedora dan Ubuntu. Mereka juga percaya bahwa distribusi Linux lainnya “mungkin rentan dan mungkin dapat dieksploitasi.”

Jika ada satu anugerah yang menyelamatkan dalam situasi Log4j-esque, déjà vu ini, PwnKit adalah kerentanan eskalasi hak istimewa lokal. “Setiap kerentanan yang memberikan akses root pada sistem Linux adalah buruk. Untungnya, kerentanan ini adalah eksploitasi lokal, yang mengurangi beberapa risiko,” Yaniv Bar-Dayan, CEO dan salah satu pendiri di Vulcan Cyber, mengatakan kepada Threatpost pada hari Rabu.

Meskipun demikian, PwnKit mengkhawatirkan profesional keamanan di tingkat teratas: sebuah fakta yang digarisbawahi oleh tweet dari Rob Joyce, direktur Badan Keamanan Nasional (NSA), yang men-tweet pada hari Rabu bahwa dia “prihatin.”
#CVE-2021-4034 dalam alat sistem yang disebut Polkit membuat saya khawatir. Eskalasi hak istimewa yang mudah dan andal telah diinstal sebelumnya di setiap distribusi Linux utama. Patch ASAP atau gunakan mitigasi sederhana chmod 0755 /usr/bin/pkexec. Ada POC yang bekerja di alam liar. https://t.co/yUVz3lSKVT

— Rob Joyce (@NSA_CSDirector) 26 Januari 2022

Antsy Peneliti Jump perwakilan Gun

A Qualys mengatakan kepada Threatpost bahwa, pada dasarnya, tidak ada yang mengeksploitasi kerentanan di alam liar – setidaknya, Qualys tidak mengetahuinya. “Tetapi eksploitasi itu sangat sepele sehingga Qualys memutuskan untuk tidak mempublikasikannya ketika kerentanan itu dipublikasikan,” kata juru bicara itu pada hari Rabu. eksploitasi dalam beberapa jam setelah pengungkapan ditayangkan,” kata perwakilan Qualys, menunjuk ke postingan dari seseorang yang mengklaim telah membuat ulang eksploit tersebut, mengeksekusinya di sistem Ubuntu 20.04. John Hammond, peneliti di Huntress:
Mengapa mengkompilasi, ketika Anda bisa mengirim curl ke bash?? 🤣😂🤣CVE-2021-4034 pic.twitter.com/zUBAFzMGZR

— John Hammond (@_JohnHammond) 26 Januari 2022

 
CVE-2021-4034, Tidak tahu bagaimana ini tidak diperhatikan begitu lama. Mungkin lebih buruk daripada bug sudoedit. pic.twitter.com/qoP3YB90bI

— Rajvardhan Agarwal (@r4j0x00) 25 Januari 2022

‘Dream Come True’ for Cyberattackers

“Kerentanan ini adalah mimpi penyerang yang menjadi kenyataan,” kata peneliti Qualys pada hari Rabu, meskipun “mimpi buruk” adalah lebih baik untuk itu ketika Anda sedang duduk di sisi keamanan hal.

Mereka menawarkan alasan mengapa penyerang mungkin berkabut sekarang:

    pkexec telah rentan sejak pembuatannya, pada Mei 2009;

    Setiap pengguna lokal yang tidak memiliki hak dapat mengeksploitasi kerentanan ini untuk mendapatkan sepenuhnya hak akses root;

    Meskipun kerentanan ini secara teknis merupakan kerusakan memori, kerentanan ini dapat dieksploitasi secara instan, andal, dengan cara yang tidak bergantung pada arsitektur; and

    Ini dapat dieksploitasi bahkan jika daemon Polkit itu sendiri tidak berjalan.

“Kerentanan ini memungkinkan setiap pengguna yang tidak memiliki hak untuk mendapatkan hak akses root penuh pada host yang rentan dengan mengeksploitasi kerentanan ini dalam konfigurasi defaultnya,” Bharat Jogi, direktur penelitian kerentanan dan ancaman di Qualys , mengatakan dalam posting hari Rabu, menambahkan bahwa cacat “telah bersembunyi di depan mata selama 12+ tahun dan mempengaruhi semua versi pkexec sejak versi pertamanya pada Mei 2009.”

Polkit juga mendukung sistem operasi non-Linux seperti Solaris dan * BSD, tetapi Qualys belum menyelidiki eksploitabilitasnya. Para peneliti mengatakan bahwa OpenBSD tidak dapat dieksploitasi, “karena kernelnya menolak untuk mengeksekusi() sebuah program jika argc adalah 0.”

Detail Teknis

Qualys telah memberikan beberapa detail teknis, meskipun seperti yang disebutkan, ia tidak membagikan PoC-nya sebelum patch tersedia secara luas.

In Singkatnya, kerentanan penulisan di luar batas memungkinkan pengenalan kembali variabel lingkungan “tidak aman” (misalnya, LD_PRELOAD) ke dalam lingkungan pkexec, para peneliti menjelaskan.

“Variabel ‘tidak aman’ ini biasanya dihapus (oleh ld .so) dari lingkungan program SUID sebelum fungsi main() dipanggil,” kata mereka.

Qualys membagikan video berikut, yang menunjukkan jalur eksploitasi potensial.

Patch atau Mitigate ASAP

Tidak jelas berapa lama waktu yang dibutuhkan distro untuk mengatasi masalah tersebut. masalah; tetapi Qualys mengatakan bahwa mereka mengharapkan vendor untuk merilis patch lebih cepat daripada nanti. Sebagian besar distribusi Linux sedang dalam proses merilis patch atau telah mendokumentasikan mitigasi sementara, termasuk Red Hat, Debian dan Ubuntu.

Qualys juga merekomendasikan agar pengguna segera melakukan patching segera setelah patch tersebut tersedia.

“Mengingat luasnya permukaan serangan untuk kerentanan ini di OS Linux dan non-Linux, Qualys merekomendasikan agar pengguna segera menerapkan patch untuk kerentanan ini,” saran penelitinya.

Mengingat kemudahan eksploit, Qualys juga mengharapkan eksploit publik tersedia dengan cepat:

“Kami mengantisipasi eksploitasi publik akan tersedia dalam beberapa hari sejak tanggal posting blog ini,” kata para peneliti pada hari Selasa.

Jika belum ada patch yang tersedia untuk sistem operasi tertentu, ada mitigasi ini: “Hapus bit SUID dari pkexec sebagai sementara mitigasi,” saran Qualys, dengan memberikan contoh ini:

# chmod 0755 /usr/bin/pkexec

Contoh Terbaru Kebutuhan SBOMs

Greg Fitzgera ld, salah satu pendiri, Sevco Security, mencatat kepada Threatpost bahwa jenis bug ini – yang telah mengintai di jaringan selama lebih dari satu dekade – dapat menciptakan masalah serius bagi tim keamanan, yang sering kali bahkan tidak tahu di mana harus menemukan semuanya. contoh dari bagian infrastruktur mereka yang baru bermasalah.

Hentikan kami jika Anda pernah mendengar yang ini sebelumnya, tetapi Pkexec – sama seperti perpustakaan logging Apache Log4j open-source yang masih mengguncang internet – ada di mana-mana di banyak perusahaan.

Fitzgerald mengatakan bahwa prioritas organisasi saat ini “harus menambal mesin Linux di seluruh perusahaan.”

Artinya, prioritasnya adalah menambal semua mesin yang diketahui oleh tim TI dan keamanan, katanya. Sayangnya, dan ini kembali ke kebutuhan yang mendesak akan tagihan perangkat lunak (SBOM), “tidak banyak perusahaan dengan inventaris aset TI yang akurat yang sudah ada lebih dari satu dekade,” Fitzgerald berkecil hati. semua mesin yang mereka ketahui, mereka masih rentan terhadap kerentanan PwnKit karena mereka tidak memiliki inventaris akurat aset TI mereka, Fitzgerald berkata: “Anda tidak dapat menerapkan patch ke aset yang tidak Anda ketahui di jaringan Anda. Aset TI yang terbengkalai dan tidak dikenal sering kali merupakan jalur yang paling sedikit resistensinya bagi pelaku kejahatan yang mencoba mengakses jaringan atau data Anda.”

Bug Sumber Terbuka: Baik, Buruk & Buruk

Vulcan Cyber’s Bar-Dayan menyebut model perangkat lunak sumber terbuka sebagai pisau bermata dua : “Di satu sisi, semua orang dapat melihat kode dan mengauditnya untuk mengidentifikasi dan menambal kerentanan. Di sisi lain, pelaku ancaman dapat melihat kode dan menemukan masalah halus yang terlewatkan oleh orang lain,” jelasnya. “Kelebihan model ini secara historis lebih besar daripada kerugiannya, dengan banyak mata tertuju pada kode dan tambalan yang sering muncul sangat cepat setelah kerentanan terungkap.”

Dia melihat masa depan di mana audit akan membantu menangkap dan memperbaiki kerentanan sebelum digunakan di alam liar – masa depan yang juga memerlukan integrasi yang lebih baik dengan kerentanan dan alat manajemen tambalan yang akan membuat sistem berbasis perangkat lunak sumber terbuka menjadi lebih aman dan mudah dirawat. penjual memegang tas. Bud Broomhead, CEO di Viakoo, penyedia kebersihan siber IoT otomatis, mengatakan kepada Threatpost bahwa fakta bahwa pkexec adalah komponen sumber terbuka menjadikan bug ini “masalah besar”. vendor untuk mencari perbaikan: “Tidak seperti sistem yang sepenuhnya berpemilik di mana satu produsen dapat mengeluarkan satu tambalan untuk mengatasi kerentanan, satu kerentanan sumber terbuka dapat hadir di beberapa sistem (termasuk yang berpemilik) yang kemudian mengharuskan beberapa produsen untuk mengembangkan, menguji, dan mendistribusikan tambalan secara terpisah,” kata Broomhead.

Itu menambahkan “waktu dan kerumitan yang sangat besar” bagi produsen dan pengguna akhir dalam hal menerapkan perbaikan keamanan untuk kerentanan yang diketahui, tambahnya.

Jaringan kusut ini membuka -sistem sumber sangat menarik bagi aktor ancaman. “Kerentanan yang mengeksploitasi sistem sumber terbuka (seperti kerentanan Log4j baru-baru ini) memerlukan tambalan dan pembaruan untuk dikembangkan oleh beberapa produsen perangkat atau sistem, dan pelaku ancaman bertaruh pada beberapa produsen yang lambat dalam merilis perbaikan dan beberapa pengguna akhir lambat dalam memperbarui. perangkat mereka,” Broomhead mencatat.

Selain SBOM wajib, Broomhead mengatakan bahwa masa depan harus mencakup penerapan otomatis perbaikan keamanan dan memperluas kepercayaan nol ke sistem IoT dan teknologi operasional (OT).

Dia menandai peningkatan yang akan dibawa ketiga hal tersebut dalam: “Memiliki kejelasan tentang apa yang ada dalam distribusi perangkat lunak melalui SBOM membuat menemukan sistem yang rentan menjadi lebih mudah,” dia menyebutkan. “Implementasi otomatis perbaikan keamanan diperlukan untuk mengatasi masalah skala, baik jumlah maupun geografi, terutama dengan sistem IoT. Dan memperluas kepercayaan nol ke perangkat IoT/OT dapat menambahkan keamanan tambahan untuk mencegah kerentanan dieksploitasi.”

Ini Tidak Akan Menjadi Pertunjukan Horor Terakhir

As dengan kepemilikan, begitu juga dengan open-source: Parade teknologi baru tidak pernah berhenti. Parade itu mengantarkan kerentanan dan masalah baru, seperti yang dicatat oleh John Bambenek, pemburu ancaman utama di Netenrich.

“Infrastruktur yang disusupi sangat berguna bagi penyerang yang ingin menggunakan sumber daya orang lain untuk meluncurkan serangan mereka atau mengaburkan identitas mereka,” kata Bambenek. ancaman. “Kami akan terus mengadopsi teknologi baru di dunia Linux yang akan memperkenalkan kerentanan dan masalah baru bagi organisasi. Kami baru saja menguasai manajemen aset cloud, dan manajemen aset pada dasarnya adalah langkah pertama dari program keamanan apa pun.”

Artikel ini diperbarui pada pukul 1 siang. ET pada 26 Januari 2022, dengan informasi tentang eksploitasi di alam liar dan kekurangannya.