02.07.2022

Polkit уязвимость позволяет непривилегированным пользователям получить root доступ в Linux

В системной утилите Polkit была обнаружена 12-летняя уязвимость, которая предоставляет злоумышленникам привилегии суперпользователя в системах Linux. Даже несмотря на то, что экспериментальный эксплойт появился всего через несколько часов после технических подробностей, уязвимость стала общедоступной.

Эта уязвимость, названная PwnKit фирмой по кибербезопасности Qualys, затрагивает компонент polkit под названием pkexec. Это утилита устанавливается по умолчанию во всех основных дистрибутивах Linux, таких как Ubuntu, Debian, Fedora и CentOS.

Polkit (ранее называвшийся PolicyKit ) — это набор инструментов для управления общесистемными привилегиями в Unix-подобных системах. Данный инструмент обеспечивает взаимодействия непривилегированных процессов с привилегированными процессами.

«Эта уязвимость позволяет любому непривилегированному пользователю получить полные привилегии root на уязвимом хосте, используя эту уязвимость в конфигурации по умолчанию», — сказал Бхарат Джоги, директор по исследованию уязвимостей и угроз в Qualys. Добавив, что она «пряталась на виду в течение 12 лет и влияет на все версии pkexec, начиная с первой версии в мае 2009 года».

Хотя уязвимость PwnKit нельзя использовать удаленно, злоумышленник, который уже закрепился в системе с помощью других средств, может использовать эту уязвимость в качестве оружия для получения полных привилегий root.

Ситуацию усложняет появление эксплойта, поэтому крайне важно, чтобы патчи применялись как можно скорее для сдерживания потенциальных угроз.

Это уже вторая уязвимость в системе Polkit обнаруженная за многие годы. В июне 2021 года исследователь безопасности GitHub Кевин Бэкхаус раскрыл подробности семилетней уязвимости повышения привилегий – CVE-2021-3560.

А на этом сегодня все, если статья оказалась вам полезна, подписывайтесь на рассылку журнала в pdf формате, а так же на социальные сети журнала Cyber-X:

YouTube
ВКонтакте
Telegram
Twitter
Tumblr

Юморилка, Telegram канал с анекдотами:
Telegram

По вопросам работы сайта, сотрудничества, а так же по иным возникшим вопросам пишите на E-Mail. Если вам нравится журнал и вы хотите отблагодарить за труды, вы можете перечислить донат на развитие проекта.

С уважением, редакция журнала Cyber-X

Источник.