声明
本文章仅用于学习和技术研究,切勿用于非授权情况下的攻击测试行为,如因此产生的一切不良后果与文章作者无关!!!
一、漏洞概述
Linux Polkit 的 pkexec程序中发现了一个本地权限提升漏洞。pkexec应用程序是一个 setuid 工具,旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。
由于当前版本的 pkexec 无法正确处理调用参数计数,并最终会尝试将环境变量作为命令执行。
攻击者可以通过控制环境变量,从而诱导 pkexec 执行任意代码,利用成功后,可导致非特权用户获得管理员权限。
二、影响范围
由于为系统预装工具(polkit),目前主流Linux版本系统均受影响
可以通过命令 rpm -qa polkit 查看版本信息
三、本地环境复现
环境: kali-linux-2021.4a-installer-amd64
POC: https://github.com/berdav/CVE-2021-4034
下载到kali中
git clone https://github.com/berdav/CVE-2021-4034.git
cd CVE-2021-4034/
make
./cve-2021-4034
提升至 root 权限!!!
四、修补建议
目前各Linux发行版官方均已给出安全补丁,建议用户尽快升级至安全版本,或参照官方说明措施进行缓解,CentOS、Ubuntu及Debian用户可参考以下链接:
https://ubuntu.com/security/CVE-2021-4034
https://access.redhat.com/security/cve/CVE-2021-4034
https://security-tracker.debian.org/tracker/CVE-2021-4034
打补丁或升级到安全的版本,也可以pkexec 中删除 SUID 位作为临时缓解措施。
安全版本
总结
当使用普通用户权限执行 pkexec 时,“GCONV_PATH”、“LD_PRELOAD” 等不安全的环境变量会被删除,但攻击者可以通过参数数组的越界读写漏洞,重新引入不安全的环境变量,进而构造利用链获取root权限。
漏洞原理深层剖析
请参考以下文章
->https://mp.weixin.qq.com/s/oRtXzf1HsHsqHK4DXfVtPg
->https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
->https://bbs.pediy.com/thread-271345.htm