Talos Cyber Veille

PolKit – CVE-2021-4034

La suite Talos



La sécurité de nos clients est une priorité.

L’ensemble des outils de la suite Talos a été patché et n’est pas impacté par la faille PolKit.

Centre des opérations de sécurité

 Qu’est ce que c’est ?


 Polkit est un package conçu pour définir et gérer les politiques permettant aux processus non privilégiés de communiquer avec les processus privilégiés sur un système Linux.

Pkexec, compris dans polkit, est un outil qui permet à l’utilisateur d’exécuter des commandes en tant qu’autre utilisateur selon les définitions de la politique de polkit. Il s’agit en quelques sortes d’une version contrôlée de la commande sudo.

Cependant, pkexec réalise une mauvaise gestion de ses arguments et devient donc vulnérable à une exécution de code arbitraire, comme un accès root à n’importe quel utilisateur.

Impact



Score CVSS
: 8/10 (IMPORTANT)

La faille est très simple à exploiter et permet de donner un accès root instantanément.

Plusieurs POC sont disponibles (en C ou en Python).

Distributions vulnérables : Tous les distributions Linux avec PolKit

Versions vulnérables au 31/01/2022 (liste non exhaustive) : 

  • ‘polkit-0.112-5.ael7b’
  • ‘polkit-0.112-13.p1.el7a’
  • ‘polkit-0.96-2.el6’
  • ‘polkit-0.96-2.el6_0.1’
  • ‘polkit-0.96-5.el6_4’
  • ‘polkit-0.96-7.el6’
  • ‘polkit-0.96-7.el6_6.1’
  • ‘polkit-0.96-11.el6’
  • ‘polkit-0.96-11.el6_10.1’
  • ‘polkit-0.112-1.el7’
  • ‘polkit-0.112-5.el7’
  • ‘polkit-0.112-6.el7_2’
  • ‘polkit-0.112-7.el7_2.2’
  • ‘polkit-0.112-7.el7_2.3’
  • ‘polkit-0.112-7.el7_2’
  • ‘polkit-0.112-9.el7’
  • ‘polkit-0.112-11.el7_3’
  • ‘polkit-0.112-12.el7_3’
  • ‘polkit-0.112-12.el7_4.1’
  • ‘polkit-0.112-14.el7’
  • ‘polkit-0.112-14.el7_5.1’
  • ‘polkit-0.112-17.el7’
  • ‘polkit-0.112-18.el7’
  • ‘polkit-0.112-18.el7_6.1’
  • ‘polkit-0.112-18.el7_6.2’
  • ‘polkit-0.112-22.el7’
  • ‘polkit-0.112-22.el7_7.1’
  • ‘polkit-0.112-26.el7’
  • ‘polkit-0.115-6.el8’
  • ‘polkit-0.115-9.el8’
  • ‘polkit-0.115-9.el8_1.1’
  • ‘polkit-0.115-11.el8’
  • ‘polkit-0.115-11.el8_2.1’
  • ‘polkit-0.115-11.el8_3.2’
  • ‘polkit-0.115-11.el8_4.1’
  • ‘polkit-0.115-12.el8’

Identifier et s’en prémunir


Il est important d’identifier au sein de votre SI les serveurs Linux vulnérables. Utilisez les outils de détections de vos solutions EDR, de vos Pare-Feu ou de vos distributions. Si ces derniers n’en proposent pas, vous pouvez utiliser le script suivant : Vul Checker

Solutions à mettre en place à très court terme :

  • Isoler les serveurs vulnérables d’internet ou à défaut les isoler de toutes communications avec votre LAN
  • Mettre à jour les applications vulnérables
  • Effectuer les actions de correction proposées par les différents distributeurs Linux
  • Surveillance constante des logs et de l’intégrité de votre système d’information.

Olympe Cyberdéfense et le Groupe FrameIP peuvent vous soutenir et vous accompagner dans ces démarches. N’hésitez pas à nous contacter.