CVE-2021-4034: pkexec本地提权漏洞揭示“神洞”

Qualys研究团队发现了Polkit的pkexec中的内存损坏漏洞，该SUID根程序默认安装在每个主要的Linux发行版上。

这个易于利用的漏洞允许任何非特权用户通过在其默认配置中利用此漏洞来获得易受攻击主机上的完全root权限。

关于Polkit pkexec for Linux

Polkit（以前称为PolicyKit）是一个用于在类Unix操作系统中控制系统范围权限的组件。它为非特权进程与特权进程通信提供了一种有组织的方式。也可以使用polkit执行具有提升权限的命令，使用命令pkexec后跟要执行的命令（具有root权限）。

PwnKit漏洞的潜在影响

成功利用此漏洞允许任何非特权用户在易受攻击的主机上获得root特权。Qualys安全研究人员已经能够独立验证漏洞，开发漏洞利用，并在默认安装的Ubuntu、Debian、Fedora和CentOS上获得完整的root权限。其他Linux发行版可能容易受到攻击并且可能被利用。

这个漏洞已经隐藏了12年多，并影响自2009年5月第一个版本以来的所有pkexec版本（commit c8c3d83，“Add a pkexec(1) command”）。

一旦我们的研究团队确认了该漏洞，Qualys就进行了负责任的漏洞披露，并与供应商和开源发行版进行了协调以宣布该漏洞。

漏洞披露时间表

• 2021-11-18：咨询发送至secalert@redhat.com
• 2022-01-11：咨询和补丁发送到distros@openwall.com
• 2022-01-25：协调发布日期（世界标准时间下午5:00）。

漏洞复现

移步至https://github.com/berdav/CVE-2021-4034，下载poc到自己的虚拟机或者VPS上。

我的是VPS环境CentOS 7。

下载poc到VPS上之后进入poc路径，make一下，直接调用目录下的./cve-2021-4034即可得到root权限使用。

常见问题 (FAQ)

哪些版本易受攻击？

从2009年开始的所有Polkit版本都存在漏洞。

Qualys研究团队会发布此漏洞的利用代码吗？

不会。但是鉴于利用该漏洞非常容易，我们预计在本博客发布日期后的几天内公开利用漏洞。

此漏洞是否有任何缓解措施？

如果您的操作系统没有可用的补丁，您可以从pkexec中删除SUID位作为临时缓解措施；

例如：chmod 0755 /usr/bin/pkexec。

这个漏洞可以远程利用吗？

不可以。但是如果攻击者可以以任何非特权用户身份登录，则可以快速利用该漏洞来获得root特权。

是否可以检查剥削证据？

是的，这种利用技术会在日志中留下痕迹（“在/etc/shells文件中找不到SHELL变量的值”或“环境变量的值[…]包含可疑内容”）。

但是，请注意，此漏洞也可以被利用，而不会在日志中留下任何痕迹。

为什么将漏洞命名为“PwnKit”？

这是对易受攻击的应用程序Polkit名称的双关语。