Une vulnérabilité récemment révélée affectant le composant PolKit est présente sur plusieurs distributions Linux depuis plus de 12 ans. La vulnérabilité est facilement exploitable, déclare Bharat Jogi, directeur de l'équipe de recherche Qualys qui l'a découverte et permet à tout utilisateur non privilégié d'obtenir des privilèges root complets sur un hôte vulnérable.
PolKit fournit un mécanisme pour permettre aux processus non privilégiés de communiquer avec les privilégiés et pour permettre aux utilisateurs de l'utiliser pour exécuter des commandes avec privilèges root grâce à la commande pkexec. Cette dernière fonctionnalité est de nature similaire au plus répandu sudo.
Les chercheurs en sécurité de Qualys ont pu vérifier indépendamment la vulnérabilité, développer un exploit et obtenir des privilèges root complets sur les installations par défaut d'Ubuntu, Debian, Fedora et CentOS. D'autres distributions Linux sont probablement vulnérables et probablement exploitables.
À l'origine de la vulnérabilité se trouve un problème de corruption de mémoire dans la façon dont pkexec gère ses arguments de ligne de commande. Plus précisément, lorsqu'il est exécuté sans arguments, ce qui signifie que argc vaut 0, une partie de sa fonction main activera une écriture hors limites qui, dans des conditions données, écrase sa prochaine mémoire contiguë. Cela se trouve être envp[0], ce qui signifie que l'on peut facilement injecter une variable d'environnement malveillante dans l'environnement de pkexec.
Qualys n'a pas divulgué de code exploitant la vulnérabilité, mais comme la vulnérabilité est si facile à exploiter, des exploits publics sont devenus disponibles en ligne en moins d'un jour à compter de la divulgation.
La vulnérabilité n'est pas exploitable à distance et nécessite d'avoir un accès physique à un système. Qualys a démontré comment PwnKit peut être exploité par l'utilisateur nobody, qui n'a aucun privilège, sur une distribution Linux entièrement patchée.
Le fait que PwnKit ne soit pas exploitable à distance a suscité quelques commentaires sur Reddit tendant à minimiser sa pertinence. En effet, s'il est vrai que PwnKit seul ne suffira pas à prendre le contrôle d'un système distant, il est connu que les attaquants exploitent généralement plusieurs vulnérabilités à la suite, appelées chaîne de vulnérabilités, pour éventuellement prendre le contrôle d'un système. Cela signifie que tous les systèmes concernés doivent être corrigés dès que possible.
Du bon côté des choses, une atténuation temporaire est disponible qui est vraiment triviale à appliquer et consiste à supprimer le bit SUID de pkexec en cours d'exécution :
chmod 0755 /usr/bin/pkexec
Malheureusement, il n'est pas toujours facile de vérifier si une version corrigée a été installée. Si les mises à jour de sécurité automatiques sont activées sur votre système, il est probable que votre système ait déjà été corrigé. Sinon, vous devriez vérifier l'avis de sécurité de votre distribution ou le journal des modifications du paquet polkit actuellement installé sur votre système.
Alternativement, Qualys a crée elle-même un outil, Qualys VMDR, utilisé pour identifier les vulnérabilités critiques, y compris PwnKit. Si vous préférez utiliser le détecteur de vulnérabilité open source Falco, la société de sécurité Sysdig a publié une règle pour configurer Falco pour détecter PwnKit.
En plus des distributions basées sur Linux, la vulnérabilité pourrait également affecter d'autres systèmes d'exploitation de type UNIX où Polkit est disponible, explique Jogi. Les chercheurs de Qualys n'ont cependant pas étudié leur exploitabilité, à l'exception d'OpenBSD, qui n'est pas vulnérable car le noyau refuse d'execve() un programme si argc vaut 0.