奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
近日,奇安信CERT监测到国外安全研究团队披露了Polkitpkexec权限提升漏洞(CVE-2021-4034)。具有低权限的攻击者可利用此漏洞在易受攻击的主机上获得ROOT特权。安全研究人员已经在默认安装的Ubuntu、Debian、Fedora和CentOS系统上成功利用此漏洞获得了完整的ROOT权限。目前,此漏洞细节、PoC及EXP已公开,经奇安信CERT验证,此漏洞EXP有效且稳定。鉴于此漏洞影响较大,建议客户尽快做好自查及防护。
本次更新内容:
更新影响范围及处置建议
新增奇安信产品线解决方案
当前漏洞状态
漏洞描述
Polkit是一个用于在类Unix操作系统中控制系统范围权限的组件,它为非特权进程与特权进程提供了一种通信方式。Polkit中的pkexec应用程序旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。Polkitpkexec存在本地权限提升漏洞(CVE-2021-4034)。由于pkexec无法正确处理调用参数计数,攻击者可以通过制作环境变量来诱导pkexec执行任意代码。具有低权限的攻击者可以利用此漏洞绕过pkexec自带的安全保护措施,获取目标机器的ROOT权限。目前,此漏洞细节以及PoC/EXP都已经公开,经验证,此漏洞利用难度低且可以稳定利用,建议客户尽快自查修复。
公开的PoC利用此漏洞向系统注入环境变量GCONV_PATH,将该环境变量指向攻击者存放gconv-modules文件的目录,在gconv-modules文件中指定攻击者的恶意.so文件,pkexec会执行.so文件里面的gonv_init()函数,在gonv_init()函数内将自身进程的各个权限标志位设为0从而达到提权。
CVE-2021-4034LinuxPolkit权限提升漏洞
奇安信CERT已成功复现LinuxPolkit权限提升漏洞(CVE-2021-4034),复现截图如下:
风险等级
奇安信CERT风险评级为:高危
风险等级:蓝色(一般事件)
影响范围
1.主流Linux系统
Polkit默认安装在多个主流Linux系统上,包括Ubuntu、Debian、Fedora、CentOS、RedHat系统。
此漏洞由2009年5月发布的第一个版本引入,并影响截止至2022年1月26日该commit(https://gitlab.freedesktop.org/polkit/polkit/-/commit/a2bf5c9c83b6ae46cbd5c779d3055bff81ded683)发布之前的所有版本。
2.国产操作系统
部分受影响的国产化操作系统列表:
处置建议
目前各Linux发行版官方均已给出安全补丁,建议用户尽快升级至安全版本,或采取奇安信产品解决方案。
以下为Debian、RedHat等Linux发行版为Polkit更新的安全版本列表:
1.版本升级
用户可以使用以下命令升级Polkit到最新版。
CentOS、RedHat系列:
yumcleanall&&yummakecacheyumupdatepolkit-y
Debian、Ubuntu系列:
sudoapt-getupdatesudoapt-getinstallpolicykit-1
2.版本检测
用户可通过下面的命令检测升级后的版本是否是安全版本:
CentOS、RedHat系列:
rpm-qapolkit
Debian、Ubuntu系列:
dpkg-lpolicykit-1
3、缓解措施
若暂时无法安装安全更新,在不影响业务的情况下可采用以下缓解措施进行防护:
删除pkexec程序的SUID位:chmod755/usr/bin/pkexec
另外,用户可参考以下链接获取官方通告:
Ubuntu:https://ubuntu.com/security/CVE-2021-4034
Redhat:https://access.redhat.com/security/cve/CVE-2021-4034
Debian:https://security-tracker.debian.org/tracker/CVE-2021-4034
Fedora:https://bodhi.fedoraproject.org/updates/FEDORA-2022-1acf1bb522
https://bodhi.fedoraproject.org/updates/FEDORA-2022-da040e6b94
产品解决方案
奇安信网神云锁产品解决方案
奇安信网神云锁服务器安全管理系统(私有云版)可通过本地提权检测功能直接检测CVE-2021-4034LinuxPolkit权限提升漏洞。
奇安信网神终端安全管理系统
基于Linux系统的Polkitpkexec高危漏洞影响麒麟、统信等国产化操作系统主流版本,目前,部分厂商尚未发布相关的补丁。奇安信网神终端安全管理系统V8.0现已发布针对CVE-2021-4034LinuxPolkit权限提升漏洞的热补丁程序,客户可升级国产化操作系统补丁库版本至2022.01.26.1版本来防护此漏洞。
1.补丁库更新及升级
1)控制中心可以连入互联网
奇安信网神终端安全管理系统V8.0已经发布国产化操作系统补丁库版本2022.01.26.1版本,该版本修复CVE-2021-4034漏洞,控制中心可以连接外网,则直接通过【升级设置】升级国产化补丁库到最新的版本2022.01.26.1。
图1-1补丁库更新操作
2)控制中心处于隔离网
隔离网环境,请联系二线专家获取国产化补丁库文件,获取国产化补丁库后,系统管理员可在系统管理-系统设置页面进行补丁库文件导入。
注意:导入之前,需对补丁库文件进行加白操作。
具体的操作方法如下:
(1)root权限下,进入main容器:dockerexec-itmainbash
(2)备份后编辑/opt/tools/config/importext/whitemd5.list文件(权限不够,则执行chmod+x文件名),将需要导入的扩展包的md5填入该文件,存在多个md5时每行填一个md5字符串;
图1-2补丁库加白操作1
图1-3补丁库加白操作2
图1-4导入补丁库
3)补丁库更新成功
离线导入补丁库或在线更新补丁库版本后,通知中心查看国产化补丁库版本为2022.01.26.1
图1-5通知中心查看控制中心补丁库版本
2.升级服务器/终端的补丁库版本
控制中心的补丁库更新版本后还需要对连入控制中心的终端/服务器的补丁库进行更新,系统管理员进入终端管理-升级管理页面,选择需要升级补丁库的终端或者服务器,点击【立即升级补丁库】
图2-1服务器/终端升级补丁规则库界面
升级补丁库完成后,可以通过模块组件信息的【查看】按钮确认补丁规则库版本:
图2-2查看补丁规则库界面
升级完终端/服务器的补丁库版本后,终端/服务器才可以扫描到漏洞并安装补丁。
3.设置补丁修复策略
终端/服务器升级完补丁库的版本后,可以通过设置自动修复策略,完成补丁的自动修复。安全保密管理员进入策略模板-添加模块页面:
图3-1添加模板
点击【添加】按钮,完成国产通用服务器-补丁管理模板的添加。
图3-2编辑模板
在模板编辑中,选择【自动修复模式】可以实现对升级了补丁库版本的终端/服务器的实现漏洞自动修复,其他设置选项按需设置后,点击【保存并发布】;
图3-3编辑模板
界面左上角打开【国产通用服务器】标签,在【补丁管理】模块中,点击右侧“+”应用新的补丁管理策略:
图3-4设置国产通用服务器的策略
选择之前设置的策略模板,其他设置根据需求设置,如果不需要,可以不设置。点击【确定】,使修复“Linuxpkexec本地权限提升漏洞”的策略模板全网生效;
图3-5选择补丁管理的策略模板
最后需要点击【保存】,使所作更改生效。
图3-6保存补丁策略设置
完成上述操作后,终端/服务器实现自动修复CVE-2021-4034漏洞。
4客户端扫描并修复
若想要采取更为谨慎的操作,可以通过手动在客户端发起漏洞扫描并决定是否修复,在发起操作之前,可以先在控制中心确认当前机器的补丁库版本已经是2022.01.26.1,确认方法可以参见图2-1服务器/终端升级补丁规则库界面,具体操作步骤如下:
1)鼠标右键奇安信网神终端安全管理系统V8.0托盘,打开【漏洞补丁管理】界面
图4-1打开漏洞补丁管理界面入口
3)点击【立即修复】完成对漏洞CVE-2021-4034的修复,完成修复后,可以在补丁管理中看到对该已经安装了该补丁
参考资料
[1]https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
时间线
2022年1月26日,奇安信CERT发布安全风险通告
2022年1月27日,奇安信CERT发布安全风险通告第二次更新
到奇安信NOX-安全监测平台查询更多漏洞详情
奇安信CERT长期招募安全研究员
立即拨打
京公网安备11000002002064号