声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
一、漏洞概述
Linux Polkit 的 pkexec程序中发现了一个本地权限提升漏洞。pkexec应用程序是一个 setuid 工具,旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。
由于当前版本的 pkexec 无法正确处理调用参数计数,并最终会尝试将环境变量作为命令执行。
攻击者可以通过控制环境变量,从而诱导 pkexec 执行任意代码,利用成功后,可导致非特权用户获得管理员权限。
二、影响范围
由于为系统预装工具(polkit),目前主流Linux版本系统均受影响
可以通过命令 rpm -qa polkit 查看版本信息
三、本地环境复现
环境: kali-linux-2021.4a-installer-amd64
POC: https://github.com/berdav/CVE-2021-4034
下载到kali中
git clone https://github.com/berdav/CVE-2021-4034.git
cd CVE-2021-4034/
make
./cve-2021-4034
提升至 root 权限!!!
四、修补建议
目前各Linux发行版官方均已给出安全补丁,建议用户尽快升级至安全版本,或参照官方说明措施进行缓解,CentOS、Ubuntu及Debian用户可参考以下链接:
https://ubuntu.com/security/CVE-2021-4034
https://access.redhat.com/security/cve/CVE-2021-4034
https://security-tracker.debian.org/tracker/CVE-2021-4034
打补丁或升级到安全的版本,也可以pkexec 中删除 SUID 位作为临时缓解措施。
安全版本
五、漏洞原理深层剖析
请参考以下文章
->https://mp.weixin.qq.com/s/oRtXzf1HsHsqHK4DXfVtPg
->https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
->https://bbs.pediy.com/thread-271345.htm
总结
当使用普通用户权限执行 pkexec 时,"GCONV_PATH"、"LD_PRELOAD" 等不安全的环境变量会被删除,但攻击者可以通过参数数组的越界读写漏洞,重新引入不安全的环境变量,进而构造利用链获取root权限。
