Kriittinen haavoittuvuus Unix polkit-komponentissa

Unix-järjestelmissä yleisesti käytössä oleva Polkit-komponentti mahdollistaa käyttöoikeuksien korottamisen mielivaltaisesti. Haavoittuvuuden hyväksikäyttö vaatii oikeuden suorittaa komentoja kohdejärjestelmässä.

Polkit (aikaisemmalta nimeltään PolicyKit) on käyttöjärjestelmäkomponentti, jolla voi hallita eri käyttöoikeuksin varustettujen prosessien keskinäistä kommunikaatioita. Polkit on alun perin kehitetty Linux-ympäristöihin, mutta se tukee muitakin Unix-tyylisiä ympäristöjä, kuten Solaris- ja BSD-käyttöjärjestelmiä.

Polkitin pkexec-komentokäskyssä on vuodesta 2009 alkaen ollut ohjelmistovirhe, joka liittyy komentoriviparametrien hallintaan muistissa. Virheen avulla käyttäjä voi korottaa käyttövaltuuksiansa pääkäyttäjätasolle. Haavoittuvuudelle on annettu tunniste CVE-2021-4034. Haavoittuvuuden hyväksikäyttö ei ole vaikeaa, minkä vuoksi se on luokiteltu kriittiseksi. Polkit-komponenttiin liittyvän palvelun ei tarvitse olla käynnissä, jotta haavoittuvuutta voidaan hyväksikäyttää. Haavoittuvuuden hyväksikäyttö vaatii kuitenkin mahdollisuuden suorittaa komennon kohdejärjestelmässä.

Haavoittuvuus vaatii toimia järjestelmien ylläpitäjiltä. Tavallisten käyttäjien tulee huolehtia, että käyttöjärjestelmiin on asennettu uusimmat saatavilla olevat päivitykset.

Haavoittuvuuden kohde

Kaikki Polkit-komponentin versiot vuodesta 2009 ovat haavoittuvia

Mistä on kysymys?

Järjestelmien päivittäminen käyttöjärjestelmätoimittajan päivityspalveluista uusimpiin versioihin, joissa haavoittuvuus on korjattu.

Qualyksen artikkeli (ulkoinen linkki)

Qualyksen tiedote (ulkoinen linkki)

Tivin uutinen (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.