Die 12 Jahre alte Schwachstelle im sudo-ähnlichen polkit-Tool pkexec, die in allen großen Linux-Distributionen zu finden ist, wird wahrscheinlich innerhalb weniger Tage in freier Wildbahn ausgenutzt werden.
Jede größere Linux-Distribution verfügt über einen leicht ausnutzbaren Fehler in der Speicherverwaltung, der seit 12 Jahren lauert – eine verblüffende Enthüllung, die wahrscheinlich bald in freier Wildbahn ausgenutzt werden wird.
Er wurde in pkexec von polkit gefunden – einem Tool zur Kontrolle systemweiter Privilegien in Unix-ähnlichen Betriebssystemen, das es einem Benutzer erlaubt, Befehle als ein anderer Benutzer auszuführen, und das als Alternative zu sudo dient – und gibt jedem unprivilegierten Benutzer vollen Root-Zugriff.
Die Qualys-Forscher, die das lange schlummernde Pulverfass entdeckten und es PwnKit nannten, sagten in einem Bericht vom Dienstag, dass sie einen Exploit entwickelten und volle Root-Rechte auf Standardinstallationen von Ubuntu, Debian, Fedora und CentOS erhielten, während sie glauben, dass andere Linux-Distributionen „wahrscheinlich verwundbar und wahrscheinlich ausnutzbar“ sind.
„Diese Schwachstelle ist der wahrgewordene Traum eines jeden Angreifers“, so die Qualys-Forscher.
Sie nannten noch weitere Gründe, warum Angreifer im Moment wahrscheinlich trübsinnige Augen haben:
- pkexec ist seit seiner Erstellung im Mai 2009 verwundbar;
- Jeder unprivilegierte lokale Benutzer kann diese Schwachstelle ausnutzen, um volle Root-Rechte zu erlangen;
- obwohl es sich bei dieser Schwachstelle technisch gesehen um eine Speicherbeschädigung handelt, ist sie sofort, zuverlässig und architekturunabhängig ausnutzbar; und
- ist sie auch dann ausnutzbar, wenn der Polkit-Daemon selbst nicht läuft.
„Diese Schwachstelle erlaubt es jedem unprivilegierten Benutzer, volle Root-Rechte auf einem verwundbaren Host zu erlangen, indem er diese Schwachstelle in der Standardkonfiguration ausnutzt“, sagte Bharat Jogi, Direktor für Schwachstellen- und Bedrohungsforschung bei Qualys, in einem Beitrag am Mittwoch und fügte hinzu, dass die Schwachstelle „seit mehr als 12 Jahren im Verborgenen liegt und alle Versionen von pkexec seit der ersten Version im Mai 2009 betrifft.“
Polkit unterstützt auch Nicht-Linux-Betriebssysteme wie Solaris und *BSD, aber Qualys hat deren Ausnutzbarkeit noch nicht untersucht. Die Forscher sagten, dass OpenBSD nicht ausnutzbar ist, „weil sein Kernel sich weigert, ein Programm mit execve() auszuführen, wenn argc 0 ist.“
Polkit (früher PolicyKit) bietet einen organisierten Weg für nicht-privilegierte Prozesse, um mit privilegierten Prozessen zu kommunizieren, erklärte Qualys, und kann verwendet werden, um Befehle mit erhöhten Privilegien auszuführen, indem man den Befehl pkexec gefolgt von dem auszuführenden Befehl (mit Root-Rechten) verwendet.
Wenn es in dieser Log4j-esquen Déjà-vu-Situation einen Lichtblick gibt, dann ist es die Tatsache, dass es sich bei PwnKit um eine lokale Schwachstelle zur Ausweitung der Rechte handelt. „Jede Sicherheitslücke, die Root-Zugriff auf ein Linux-System ermöglicht, ist schlecht. Glücklicherweise handelt es sich bei dieser Schwachstelle um einen lokalen Exploit, was das Risiko etwas mindert“, erklärte Yaniv Bar-Dayan, CEO und Mitbegründer von Vulcan Cyber, am Mittwoch gegenüber Threatpost.
Technische Details
Qualys hat einige technische Details zur Verfügung gestellt, verzichtet aber darauf, seinen Proof-of-Concept (PoC) zu veröffentlichen, bevor Patches allgemein verfügbar sind. Kurz gesagt, eine Out-of-Bounds-Write-Schwachstelle ermöglicht die Wiedereinführung einer „unsicheren“ Umgebungsvariablen (z. B. LD_PRELOAD) in die Umgebung von pkexec, erklärten die Forscher.
„Diese ‚unsicheren‘ Variablen werden normalerweise (von ld.so) aus der Umgebung von SUID-Programmen entfernt, bevor die main()-Funktion aufgerufen wird“, so die Forscher.
Qualys hat das folgende Video zur Verfügung gestellt, das einen möglichen Angriffspfad demonstriert.
Patches oder Abhilfemaßnahmen so schnell wie möglich
Qualys erwartet, dass die Hersteller eher früher als später Patches veröffentlichen, und empfiehlt den Anwendern, sich mit dem Patchen zu beeilen, wenn diese Patches verfügbar sind. „In Anbetracht der großen Angriffsfläche für diese Schwachstelle unter Linux und anderen Betriebssystemen empfiehlt Qualys den Anwendern, sofort Patches für diese Schwachstelle zu installieren“, so die Forscher.
In Anbetracht der Leichtigkeit, mit der die Schwachstelle ausgenutzt werden kann, erwartet Qualys auch, dass öffentliche Exploits schnell verfügbar sein werden:
„Wir gehen davon aus, dass öffentliche Exploits innerhalb weniger Tage nach Veröffentlichung dieses Blogs zur Verfügung stehen werden“, so die Forscher am Dienstag.
Wenn für ein bestimmtes Betriebssystem noch keine Patches verfügbar sind, gibt es eine Abhilfe: „Entfernen Sie das SUID-Bit aus pkexec als vorübergehende Abhilfe“, schlug Qualys vor und nannte dieses Beispiel:
# chmod 0755 /usr/bin/pkexec
Jüngstes Beispiel für die Notwendigkeit von SBOMs
Greg Fitzgerald, Mitbegründer von Sevco Security, merkte gegenüber Threatpost an, dass diese Art von Fehlern – die seit mehr als einem Jahrzehnt in Netzwerken lauern – Sicherheitsteams vor ernsthafte Probleme stellen können, die oft nicht einmal wissen, wo sie alle Instanzen eines neuen problematischen Teils ihrer Infrastruktur finden können.
Pkexec ist – genau wie die ebenfalls quelloffene Apache Log4j-Logging-Bibliothek, die immer noch das Internet erschüttert – in vielen Unternehmen allgegenwärtig.
Fitzgerald sagte, dass die Priorität für Unternehmen im Moment „das Patchen von Linux-Maschinen im gesamten Unternehmen sein muss.“
Das heißt, die Priorität liegt darin, alle Rechner zu patchen, die den IT- und Sicherheitsteams bekannt sind, betonte er. Unglücklicherweise, und dies führt zurück zu dem dringenden Bedarf an Software-Stücklisten (SBOMs), „gibt es nicht viele Unternehmen, die über ein genaues IT-Inventar verfügen, das mehr als ein Jahrzehnt zurückreicht“, unterstrich Fitzgerald.
Selbst wenn ein Unternehmen alle ihm bekannten Rechner mit Patches versieht, könnte es also immer noch für die PwnKit-Schwachstelle anfällig sein, weil es keine genaue Bestandsaufnahme seiner IT-Ressourcen hat, so Fitzgerald: „Sie können keinen Patch auf eine Anlage anwenden, von der Sie nicht wissen, dass sie sich in Ihrem Netzwerk befindet. Verlassene und unbekannte IT-Ressourcen sind oft der Weg des geringsten Widerstands für böswillige Akteure, die versuchen, auf Ihr Netzwerk oder Ihre Daten zuzugreifen.“
Open-Source-Fehler: Gut, Schlecht & Böser
Bar-Dayan von Vulcan Cyber bezeichnete das Modell der Open-Source-Software als zweischneidiges Schwert: „Auf der einen Seite kann sich jeder den Code ansehen und ihn überprüfen, um Schwachstellen zu identifizieren und zu beheben. Auf der anderen Seite können sich Bedrohungsakteure den Code ansehen und subtile Probleme finden, die allen anderen entgangen sind“, erklärte er. „Die Vorteile dieses Modells haben in der Vergangenheit die Nachteile überwogen, da viele Augen auf den Code gerichtet sind und Patches häufig sehr schnell erscheinen, nachdem eine Schwachstelle bekannt geworden ist.
Er sieht eine Zukunft, in der Audits dazu beitragen werden, Schwachstellen zu finden und zu beheben, bevor sie in freier Wildbahn genutzt werden – eine Zukunft, die auch eine verbesserte Integration mit Tools zur Verwaltung von Schwachstellen und Patches mit sich bringt, die auf Open-Source-Software basierende Systeme noch sicherer und einfacher zu warten machen.
Die Kehrseite von Open-Source ist, dass es keinen Anbieter gibt, der den Kopf hinhalten muss. Bud Broomhead, CEO von Viakoo, einem Anbieter von automatisierter IoT-Cyberhygiene, erklärte gegenüber Threatpost, dass die Tatsache, dass pkexec eine Open-Source-Komponente ist, diesen Fehler zu einer „großen Sache“ macht.
Schließlich gibt es keinen einzigen Hersteller, dem man die Schuld geben kann, und auch keinen, an den man sich wenden muss, um die Schwachstelle zu beheben: „Im Gegensatz zu vollständig proprietären Systemen, bei denen ein einziger Hersteller einen einzigen Patch herausgeben kann, um eine Schwachstelle zu beheben, kann eine einzige Open-Source-Schwachstelle in mehreren Systemen (auch proprietären) vorhanden sein, was dann erfordert, dass mehrere Hersteller einen Patch separat entwickeln, testen und verteilen“, so Broomhead.
Das bedeutet einen enormen Zeitaufwand und eine enorme Komplexität sowohl für den Hersteller als auch für den Endbenutzer, wenn es darum geht, ein Sicherheitsupdate für eine bekannte Schwachstelle zu implementieren“, fügte er hinzu.
Dieses verworrene Netz macht Open-Source-Systeme für Bedrohungsakteure äußerst attraktiv. „Schwachstellen, die Open-Source-Systeme ausnutzen (wie die jüngste Log4j-Schwachstelle), erfordern, dass Patches und Updates von mehreren Geräte- oder Systemherstellern entwickelt werden, und Bedrohungsakteure setzen darauf, dass einige Hersteller nur langsam Korrekturen veröffentlichen und einige Endbenutzer ihre Geräte nur langsam aktualisieren“, so Broomhead.
Neben den obligatorischen SBOMs muss die Zukunft laut Broomhead auch die automatische Bereitstellung von Sicherheitskorrekturen und die Ausweitung von Zero Trust auf IoT/OT-Systeme beinhalten.
Er hakte die Verbesserungen ab, die diese drei Dinge mit sich bringen würden: „Klarheit darüber zu haben, was in einer Software-Distribution über eine SBOM enthalten ist, macht es einfacher, verwundbare Systeme zu finden“, zählte er auf. „Die automatisierte Implementierung von Sicherheitskorrekturen ist notwendig, um das Problem des Umfangs, sowohl zahlenmäßig als auch geografisch, zu lösen, insbesondere bei IoT-Systemen. Und die Ausweitung von Zero Trust auf IoT/OT-Geräte kann zusätzliche Sicherheit bieten, um zu verhindern, dass Schwachstellen ausgenutzt werden.“
Dies wird nicht die letzte Horrorshow gewesen sein
Wie bei den proprietären, so ist es auch bei Open-Source: Die Parade der neuen Technologien hört nie auf. Diese Parade bringt neue Schwachstellen und Probleme mit sich, wie John Bambenek, Hauptbedrohungsjäger bei Netenrich, feststellt.
„Eine kompromittierte Infrastruktur ist besonders nützlich für Angreifer, die die Ressourcen anderer nutzen wollen, um ihre Angriffe zu starten oder ihre Identität auf andere Weise zu verschleiern“, so Bambenek gegenüber Threatpost. „Wir werden in der Linux-Welt immer wieder neue Technologien einführen, die neue Schwachstellen und Probleme für Unternehmen mit sich bringen werden. Wir fangen gerade erst an, uns mit der Verwaltung von Cloud-Ressourcen zu beschäftigen, und die Verwaltung von Ressourcen ist im Grunde der erste Schritt eines jeden Sicherheitsprogramms.“
Schauen Sie sich unsere kommenden kostenlosen Live- und On-Demand-Online-Townhalls an – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.
Einige Teile dieses Artikels stammen aus:
threatpost.com
Bestes Cybersecurity-Forschungspapier aufgedeckt