PwnKit vulnerability. Come scoprirla.
Altro giorno, altra vulnerabilità, altro exploit… altra patch! Combattere immediatamente la recente vulnerabilità di PwnKit potrebbe sembrare la cosa giusta? Non è detto lo sia. L’identificazione della vulnerabilità di PwnKit tra le risorse aziendali, sia esposte a Internet che all’interno dell’infrastruttura interna, è fondamentale. È la terza vulnerabilità critica identificata negli ultimi circa 6 mesi. Log4Shell, PrintNightmare, per non parlare dei recenti zero-day di MS-Exchange e dell’exploit EternalBlue di 5 anni (una delle prime 30 vulnerabilità sfruttabili) prevale ancora nonostante i nostri migliori sforzi.
Polkit e il suo impatto.
La memory-corruption vulnerability in polkit (pkexec) esiste sin dalla sua creazione nel maggio 2009. È installata per impostazione predefinita su tutte le principali distribuzioni Linux. Il programma pkexec è molto potente. Descritto come “il sudo di systemd” dagli sviluppatori Debian, ed è in grado di controllare i privilegi a livello di sistema in sistemi operativi simili a Unix. Può essere modificato per consentire a un utente locale senza privilegi di sfruttare e ottenere i privilegi di root completi dell’host. Sebbene PwnKit sia tecnicamente un danneggiamento della memoria, è immediatamente sfruttabile in modo indipendente dall’architettura anche se il polkit daemon stesso non è in esecuzione.
Keep calm and test along.
Red Hat valuta che PwnKit (CVE-2021-4034) abbia un punteggio CVSS (Common Vulnerability Scoring System) di 7,8 (alto). Ma cosa significa? Dovrebbe essere prioritario rispetto ad altre vulnerabilità elevate/critiche? O forse no, poiché non ha raggiunto una criticità CVSS di 10.0? L’approccio incentrato sulla vulnerabilità suggerito dal CVSS manca di una definizione delle priorità del rischio significativa e di un contesto attuabile. Questa volta, prima di spostare immediatamente le priorità di patch, i team di sicurezza dovrebbero fermarsi per scoprire l’impatto che PwnKit ha sull’azienda nel caso in cui venga sfruttato, nel contesto di tutte le altre vulnerabilità che esistono sulla superficie di attacco.
Same but different.
PwnKit è diverso da altre vulnerabilità sfruttabili di Local Privilege Escalation (LPE – TA0004)? Sì e no. Un tipico LPE fa parte di una catena di eventi attraverso la kill-chain dell’attacco e non un’azione autonoma che un avversario può “semplicemente” sfruttare. Pertanto, sono richieste le credenziali dell’utente locale. Tuttavia, in un approccio di difesa a più livelli, assumiamo che ciò che un controllo di sicurezza ha perso, un altro controllo lo impedirà o almeno rileverà. PwnKit rappresenta il rischio maggiore per gli ambienti che dipendono fortemente dalle autorizzazioni Linux, in cui le autorizzazioni differiscono tra gli account. Tuttavia, anche in questo caso, il contesto conta.
PwnKit vulnerability. Critical points.
I punti critici da considerare includono:
- Criticità delle risorse. Più l’host è critico per i dati o la continuità aziendale, minore è la finestra di applicazione delle patch. Le aziende sono meno inclini a implementare un controllo del consumo di memoria o CPU a causa del rischio di interruzioni dell’attività.
- Controlli degli endpoint. La copertura di prevenzione e rilevamento del sistema operativo Linux (EDR, NGAV, EPP) è limitata. Un gran numero di distribuzioni del kernel Linux limita i fornitori dallo sviluppo di una parità simile al sistema operativo Windows ed è quindi meno maturo. In definitiva, non puoi dipendere da più livelli di controlli per fornire un framework di difesa in profondità.
- Risorse cloud. Linux è diventato lo standard de facto per i carichi di lavoro critici nei data center e negli ambienti di cloud computing. Ciò rende il rischio di vulnerabilità di Linux una priorità elevata per le organizzazioni con una sostanziale infrastruttura distribuita nel cloud, indipendentemente dal fatto che le risorse siano pubblicamente esposte o “dietro il perimetro del cloud”.
La prossima volta vedremo dove va ad impattare Pwnkit e come Pentera ci può aiutare. Per leggere l’articolo completo CLICCA QUI! Mentre se vuoi maggiori informazioni sulla soluzione consulta la nostra pagina https://www.bludis.it/p/pentera/ oppure contatta gli specialisti di Bludis allo 0643230077 o invia una e-mail a sales@bludis.it
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.