Vulnerabilidad de Seguridad UNAM-CERT-2022-005 Escalación de privilegios local en la utilidad pkexec de polkit

Una vulnerabilidad de escalación de privilegios local fue descubierta en la utilidad pkexec de polkit.

Fecha de liberación: 
25/01/2022
Última revisión: 
26/01/2022
Fuente: 
https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt
Riesgo: 
Alto
Problema de vulnerabilidad: 
Local
Tipo de vulnerabilidad: 
Elevación de privilegios
CVE ID: 

CVE-2021-4034

Red Hat
Base Score: 7.8 HIGH
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
 
SUSE
Base Score: 7.8 HIGH
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
 
Sistemas afectados: 

pkexec está instalado de manera predeterminada en la mayoría de las distribuciones Linux. De acuerdo con el aviso de seguridad de Qualys fue explotado en:

  • Ubuntu
  • Debian
  • Fedora
  • CentOS
  • Otras distribuciones probablemente son explotables
Descripción: 

Una vulnerabilidad de escalación de privilegios local fue descubierta en la utilidad pkexec de polkit. La aplicación pkexec es una herramienta con privilegios especiales (setuid) que permiten a usuarios no privilegiados ejecutar comandos como usuarios privilegiados de acuerdo con políticas definidas previamente.

Impacto: 

Un atacante podría aprovechar la vulnerabilidad para tomar control del servidor.

Solución: 

Aplicar el parche de acuerdo con el producto y versión que publique cada entidad

  • Asignar los permisos: chmod 0755 /usr/bin/pkexec
  • Red Hat
  • Debian (Release security: stretch 0.105-18+deb9u2, buster 0.105-25+deb10u1, bullseye 0.105-31+deb11u1, sid 0.105-31.1)
  • Ubuntu
  • SUSE
Referencias: 

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración o traducción y revisión de este Documento a:

  • Sergio Anduin Tovar Balderas (anduin dot tovar at cert dot unam dot mx)

 

UNAM-CERT

Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at cert.unam.mx
phishing at cert.unam.mx
https://www.cert.org.mx
https://www.cert.unam.mx
Tel: 56 22 81 69