Beveiligingsonderzoekers van Qualys waarschuwen voor een kwetsbaarheid die zij ontdekten in pkexec van Polkit, een programma dat in vrijwel alle Linux-distributies te vinden is. Hierdoor kunnen alle gebruikers zich voordoen als een ‘rootgebruiker’, iemand die alle rechten heeft om acties uit te voeren op een Linux-systeem. De onderzoekers hebben inmiddels aangetoond dat deze truc werkt.
“We blijven elke nieuwe ernstige kwetsbaarheid een “wake-up call” noemen, maar dat heeft er alleen maar toe geleid dat we met z’n allen de sluimerknop hebben ingedrukt”, zegt Chantal ’t Gilde, managing director Benelux & Nordics van Qualys. “In dit tijdperk van Log4Shell, SolarWinds, MSFT Exchange, en ga zo maar door, is het essentieel dat kwetsbaarheden op verantwoorde wijze worden gemeld en, gezien de ernst ervan, onmiddellijk worden gepatcht en ingeperkt”.
Volgens de onderzoekers van Qualys zit deze specifieke kwetsbaarheid al vanaf het eerste begin in de Linux-software en is bovendien gemakkelijk uit te buiten. Daarom publiceert het Qualys Research Team geen technische beschrijving van de bug. “De onderzoekers hebben de kwetsbaarheid echter onafhankelijk van elkaar kunnen verifiëren en de rechten als rootgebruiker kunnen krijgen bij standaardinstallaties van Ubuntu, Debian, Fedora en CentOS”, zegt ‘t Gilde. “Andere Linux-distributies zijn waarschijnlijk net zo kwetsbaar voor misbruik.”
Risicobeperking
Gezien de omvang van risico dat deze bug met zich meebrengt voor zowel Linux- als niet-Linux-besturingssystemen, raadt Qualys gebruikers aan onmiddellijk patches voor deze kwetsbaarheid toe te passen. “Bestaande klanten van Qualys kunnen in de knowledgebase over kwetsbaarheden zoeken naar CVE-2021-4034 om alle QID’s en bedrijfsmiddelen te identificeren die kwetsbaar zijn”, aldus ’t Gilde.