Gli specialisti della sicurezza informatica segnalano il rilevamento di un difetto di bypass dell’autenticazione nel servizio del sistema di autenticazione polkit, incluso di default nelle più moderne distribuzioni Linux. Tracciato come CVE-2021-3560, il difetto è stato pubblicamente rivelato e aggiornato il 3 giugno.
Secondo Kevin Backhouse, un ricercatore di GitHub Security che ha pubblicato il rapporto, il difetto esiste dal rilascio di polkit v0.113.
Sebbene ci siano molte distribuzioni Linux recenti che non sono state fornite con la versione vulnerabile di polkit, il rapporto rileva che qualsiasi distribuzione con polkit v0.113 o successiva potrebbe essere esposta a un incidente di sicurezza. Le distribuzioni interessate includono RHEL 8, Fedora 21, Ubuntu 20.04 e alcune versioni instabili come Debian Testing.
Lo sfruttamento di questo difetto è relativamente banale, poiché sono necessari solo pochi comandi da terminale utilizzando strumenti convenzionali come bash, kill e dbus-send. Backhouse ha incluso nel suo rapporto una dimostrazione dell’attacco: “Quando un processo di richiesta si disconnette dal dbus-daemon appena prima che inizi la chiamata a polkit_system_bus_name_get_creds_sync, il processo non può ottenere un uid e un pid univoci dal processo e non può verificare i privilegi della richiesta processi”, afferma il rapporto.
Il rischio principale derivante dallo sfruttamento di questo attacco è l’estrazione di dati riservati, che metterebbe a rischio l’integrità del sistema bersaglio.
A causa della banalità dello sfruttamento, gli utenti delle distribuzioni interessate sono incoraggiati ad aggiornare il prima possibile. Il rapporto include anche dettagli tecnici sull’architettura polkit e sul processo di sfruttamento della vulnerabilità.
In un rapporto separato, i ricercatori della società di sicurezza Grimm hanno segnalato la scoperta di vulnerabilità di sicurezza nel sistema iSCSI del kernel Linux presente in tutte le distribuzioni del sistema operativo. Sebbene il kernel vulnerabile non venga caricato per impostazione predefinita, un attore di minacce potrebbe caricare e sfruttare il modulo difettoso; le vulnerabilità consentirebbero anche agli hacker malintenzionati di eseguire l’escalation dei privilegi sui sistemi Linux aggiornati.
