Vulnerability Cve-2021-4034
Apa itu Kerentanan PwnKit CVE-2021-4034?
Pada 25 Januari 2022, kerentanan kritis di pkexec polkit diungkapkan kepada publik ( tautan ). Tim peneliti Qualys menamakan kerentanan ini "PwnKit". Paket polkit dimaksudkan untuk menangani kebijakan yang memungkinkan proses yang tidak memiliki hak untuk berkomunikasi dengan proses yang memiliki hak istimewa di sistem Linux. Pkexec adalah bagian dari polkit dan menangani eksekusi perintah oleh konteks pengguna yang berbeda mengikuti kebijakan yang ditentukan polkit. Mesin yang rentan adalah instalasi Ubuntu, Debian, Fedora, CentOS dan banyak lagi.
Mengapa ini merupakan kerentanan yang berbahaya?
Dengan mengeksploitasi kerentanan ini, penyerang pada host yang rentan dapat dengan mudah mendapatkan hak akses root penuh dari pengguna yang tidak memiliki hak.
Kerentanan telah dibahas secara luas, dan kami yakin pelaku jahat dapat mulai menggunakannya pada mesin yang rentan.
POC eksploitasi juga dipublikasikan secara publik di GitHub:
https://github.com/arthepsy/CVE-2021-4034
Oleh karena itu, organisasi dan tim keamanan mereka disarankan untuk memeriksa seluruh mesin berbasis Linux mereka dan memastikan mereka tidak rentan.
Apa itu "PwnKit-Hunter" dan bagaimana itu bisa membantu saya?
PwnKit-Hunter adalah seperangkat alat yang akan membantu menentukan apakah paket polkit sistem Anda rentan terhadap CVE-2021-4043, alias PwnKit.
Tautan untuk skrip deteksi "PwnKit-Hunter" dapat ditemukan di sini:
https://github.com/cyberark/PwnKit-Hunter
Alat-alat tersebut adalah:
CVE-2021-4034_Finder.py:
Skrip ini menggunakan cache apt Anda untuk menemukan versi polkit yang diinstal saat ini dan membandingkannya dengan versi yang ditambal menurut distribusi Anda.
PwnKit-Patch-Finder.c:
Patch Debian dan Ubuntu ke CVE-2021-4043 berisi baris exit() baru yang terjadi hanya jika paket policykit-1 di-patch. Kode ini akan mencoba memicu exit() ini, dan akan mencari kode yang sesuai. Jika pkexec keluar dengan kode yang berbeda, paket perlu diperbarui.
PENOLAKAN: Skrip ini hanya berfungsi pada varian Debian dan Ubuntu, karena distro lain menambal kode dengan cara yang berbeda.
Cara menjalankan "PwnKit-Hunter"
CVE-2021-4034_Finder.py:
git clone https://github.com/cyberark/PwnKit-Hunter.git
cd PwnKit-Hunter
./CVE-2021-4034_Finder.py
PwnKit-Patch-Finder.c:
git clone https://github.com/cyberark/PwnKit-Hunter.git
cd PwnKit-Hunter
gcc PwnKit-Patch-Finder.c -o PwnKit-Patch-Finder
./PwnKit-Patch-Finder
Apa mitigasinya?
Perbaikan yang disarankan adalah memperbarui sistem Anda sesuai dengan saran keamanan dari jenis distribusi Linux Anda.
Untuk menguranginya tanpa memperbarui, hapus izin setuid dari pkexec:
chmod 0755 $(yang pkexec)
Untuk membantu memastikan bahwa perbaikan telah diterapkan sepenuhnya, CyberArk Labs mengembangkan skrip sederhana untuk mendeteksi dan memeriksa apakah host yang dipindai rentan atau tidak.
#cve-2021-4034 #bengkulucyberteam #vulnerability #rootingserver2022
