ΑρχικήSecurityΚυνηγώντας την ευπάθεια pwnkit (CVE-2021-4034) σε Linux

Κυνηγώντας την ευπάθεια pwnkit (CVE-2021-4034) σε Linux

Τον Νοέμβριο του 2021, ανακαλύφθηκε μια ευπάθεια σε ένα πανταχού παρών module Linux που ονομάζεται Polkit. Το Polkit που αναπτύχθηκε από την Red Hat διευκολύνει την επικοινωνία μεταξύ προνομιούχων και μη προνομιακών διαδικασιών στα Linux endpoints. Λόγω ενός ελαττώματος σε ένα component του Polkit — pkexec — υπάρχει μια ευπάθεια κλιμάκωσης τοπικών προνομίων που αν την εκμεταλλευτεί κάποιος θα μπορέσει να μετατραπεί από τυπικός user σε root.

Δείτε επίσης: LockBit ransomware: Linux έκδοση στοχεύει VMware ESXi servers

Linux

Μόλις επιτευχθεί η αρχική πρόσβαση με άλλα μέσα, η εκμετάλλευση του CVE-2021-4032 — με το παρατσούκλι “pwnkit” — είναι εύκολη και είναι διαθέσιμο και το proof of concept. Μπορείτε να βρείτε συστάσεις μετριασμού και ενημέρωσης στον ιστότοπο της Red Hat.

Το Pwnkit αποκαλύφθηκε δημόσια στις 25 Ιανουαρίου 2022.

#secnews #solarstorm #hurricane 

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #solarstorm #hurricane

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lmg4VGJwLS1OZnFR

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα

SecNewsTV 5 hours ago

Δείτε επίσης: CWP bugs επιτρέπουν την εκτέλεση κώδικα root σε διακομιστές Linux

Κυνήγι του pwnkit με την χρήση του CrowdStrike Falcon

Για να κυνηγήσουμε το pwnkit, θα χρησιμοποιήσουμε δύο διαφορετικές μεθόδους. Πρώτον, θα διαμορφώσουμε το προφίλ των διεργασιών που δημιουργούνται από το pkexec και δεύτερον, θα στοχεύσουμε ένα σήμα που απουσιάζει από τις εκτελέσεις διεργασιών pkeexec που θα μπορούσε να υποδεικνύει ότι έχει συμβεί exploitation.

Profiling pkexec

Όταν το pwnkit καλείται από έναν μη προνομιούχο χρήστη, το pkexec θα αποδεχτεί οπλισμένες οδηγίες και θα δημιουργήσει ένα νέο process ως χρήστης root. Σε ένα σύστημα Linux, ο χρήστης root έχει User ID (UID) 0. Οπτικά, το attack path μοιάζει με αυτό:

Για να ρίξουμε το ευρύτερο δυνατό δίκτυο, θα εξετάσουμε τις διεργασίες που δημιουργεί συνήθως το pkexec και θα αναζητήσουμε ακραίες τιμές. Το query μας θα μοιάζει με αυτό:

index=main sourcetype=ProcessRollup2* event_simpleName=ProcessRollup2 event_platform=Lin 
| search ParentBaseFileName=pkexec AND UID_decimal=0
| stats values(CommandLine) as CommandLine, count(aid) as executionCount by aid, ComputerName, ParentBaseFileName, FileName, UID_decimal
| sort + executionCount

Το output αυτού του query θα είναι παρόμοιο με αυτό:

Linux

Ακριβώς στην κορυφή, μπορούμε να δούμε δύο εκτελέσεις low-velocity ενδιαφέροντος. Το δεύτερο το αναγνωρίζουμε αμέσως ως θεμιτό. Το πρώτο είναι ένα exploitation της χρήσης του pwnkit και αξίζει περαιτέρω προσοχή.

Ο δημόσιος proof of concept κώδικας που χρησιμοποιείται για αυτό το tutorial εκδίδει μμια σταθερη εντολή: /bin/sh-pi. Το κυνήγι για αυτήν τη γραμμή εντολών συγκεκριμένα μπορεί να εντοπίσει lazy testing και/ή exploitation, αλλά να γνωρίζετε ότι αυτό το string είναι ασήμαντο για τροποποίηση:

index=main sourcetype=ProcessRollup2* event_simpleName=ProcessRollup2 event_platform=Lin 
| search ParentBaseFileName=pkexec AND UID_decimal=0 AND CommandLine="/bin/sh -pi"
| stats values(CommandLine) as CommandLine, count(aid) as executionCount by aid, ComputerName, ParentBaseFileName, FileName, UID_decimal
| sort + executionCount

Δείτε επίσης: Σημαντική αύξηση των malware που στόχευσαν Linux μηχανήματα το 2021

Κενές γραμμές εντολών στο pkexec

Ένα από τα ενδιαφέροντα τεχνουργήματα του pwnkit exploitation είναι η απουσία ορίσματος γραμμής εντολών όταν γίνεται επίκληση του pkexec. Μπορείτε να το δείτε εδώ:

Linux

Επιπλέον, η διαδικασία που ζητά ανύψωση και μόχλευση pwnkit δεν θα έχει UID 0. Ως εκ τούτου, μια εκτέλεση pkeexec που έχει γίνει θα έχει τιμή Real User ID (RUID) που δεν είναι 0. Με αυτές τις πληροφορίες, μπορούμε να αναζητήσουμε instances pkeexec που επικαλείται με null value στη γραμμή εντολών και RUID διαφορετικό από 0.

index=main sourcetype=ProcessRollup2* event_simpleName=ProcessRollup2 event_platform=Lin
| search FileName=pkexec AND RUID_decimal!=0
| where isnull(CommandLine)
| stats dc(aid) as totalEndpoints count(aid) as detectionCount, values(ComputerName) as endpointNames by ParentBaseFileName, FileName, UID_decimal
| sort - detectionCount

Με αυτό το query, όλες οι δοκιμές μας εστιάζονται:

Οποιοδήποτε από τα παραπάνω queries μπορεί να προγραμματιστεί για μαζική αναφορά ή να μετατραπεί σε προσαρμοσμένα IOAs για κυνήγι, εντοπισμό και/ή πρόληψη σε πραγματικό χρόνο.

Linux

Πηγή πληροφοριών: crowdstrike.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS