CISA 警告:Linux の深刻な脆弱性 PwnKit CVE-2021-4034 に直ちにパッチ適用を

CISA warns of hackers exploiting PwnKit Linux vulnerability

2022/06/29 BleepingComputer — CISA の悪用脆弱性リスト (KVE:Known Exploited Vulnerabilities Catalog) に、 Linux の深刻な脆弱性 CVE-2021-4034 が追加された。この PwnKit と呼ばれる脆弱性は、すべての主要ディストリビューション (Ubuntu/Debian/Fedora/CentOSなど) で使用されている、Polkit の pkexec コンポーネントで発見された。PwnKit とは、デフォルト設定の Linux システムにおいて、その悪用に成功した非特権ユーザーに、完全なルート権限を許してしまうメモリ破壊の脆弱性である。

この脆弱性を発見した、情報セキュリティ企業 Qualys の研究者たちは、その起源が pkexec の最初のコミットにまで遡り、すべての Polkit バージョンに影響を及ぼすことも明らかにした。つまり、2009年5月に pkexec が初めてリリースされて以来、12年以上もの間、目に見える形で隠されていたことになる。

Qualys が PwnKit の技術的な詳細を発表してから3時間も経たないうちに、PoC エクスプロイトがオンラインで共有されている。同社は Linux 管理者たちに対して、Polkit の開発チームが GitLab リポジトリで公開したパッチを直ちに適用し、脆弱なサーバーを保護するよう促している。Qualys の勧告によると、PwnKit の悪用は、侵害されたシステムに痕跡を残さないため、極めて緊急の課題となっている。

3週間以内のパッチ適用を連邦政府機関に指示

CISA は、すべての連邦民政局 (FCEB) 機関に対して、7月18日までの3週間で、Linux サーバーの PwnKit 対策パッチを適用し、その悪用を防ぐよう指示している。2022年11月に発行された BOD 22-01 によると、FCEB 機関は Known Exploited Vulnerabilities Catalog (KEV) に加えられた脆弱性に対して、システムを保護する必要性を定められている。

この指令は、連邦政府機関のみに適用されるものだが、米国における全ての民間/公共部門に対しても、この脆弱性のパッチを優先的に適用するよう、CISA は強く要請している。この勧告に従うことで、パッチ未適用のサーバーが危険にさらされ、脆弱なネットワークに侵入されるという攻撃が軽減される。

また、CISA は、Microsoft Exchange を使用しているFCEB 機関/政府機関/民間企業に対しも、従来のベーシック認証からモダン認証への切り替えを促している。さらに、ベーシック認証からモダン認証への移行が完了した後には、脅威者によるパスワード・スプレー攻撃/クレデンシャル・スタッフィング攻撃を緩和するために、ベーシック認証をブロックするよう勧告されている。

この脆弱性 CVE-2021-4034 ですが、お隣のキュレーション・チームに聞いたところ、Debian/Ubuntu の HAProxy の整数オーバーフローの欠陥として、2021年9月10日にレポートしているとのことでした。そして、2022年1月27日に Polkit の pkexec コンポーネントにおける、不適切なアクセス制御の脆弱性として再登場したとのことです。CVSS スコアも、当初の 5.4〜7.3 から 8.8 へと上がっているようです。

%d bloggers like this: