About CVE-2021-4034
Pada akhir Januari 2022 ini, kerentanan pada Linux kembali ditemukan oleh para peneliti keamanan, tepatnya pada tanggal 25 Januari 2022 kerentanannya mulai dipublikasi seperti pada tangkapan layar berikut ini diskusi dibuka oleh Qualys Security Advisor.
Kerentanan ini adalah menaikan level user di level apapun ke level paling tinggi di Linux (root), yang mana jika sebuah server / komputer yang terdampak pada celah ini akan sangat berbahaya, karena root akan bisa melakukan apapun di Linux.
Kerentanan ini terdapat pada sebuah binary bernama pkexec yaitu sebuah binary yang dapat menjalankan perintah / command dari pengguna lain yang ada. Beberapa hal yang menjadi catatan dari peneliti tentang kerentanan ini adalah sebagai berikut:
- pkexec terpasang sedari bawaan os hampir di semua distro yang umum (Ubuntu, Debian, Fedora, CentOS dan beberapa yang umum yang sangat mungkin rentan)
- pkexec sudah memiliki celah sejak pertama kali dikembangkan pada Mei 2009 (commit c8c3d63, “Add a pkexec(1) command”) atau beberapa yang sama lainnya (16 Mei 2009)
- Semua user di dalam yang tidak punya privilege bisa naik ke root lewat celah ini
- Celah ini tetap dapat dieksekusi meskipun polkit sendiri sedang tidak berjalan di belakang layar.
Sebenarnya para peneliti belum mempublikasi exploit untuk temuan celah ini, namun pada 1 hari setelahnya (1 Day) beberapa peneliti mempublikasi exploitnya pada (commit, 282f516) [exploit]. Dengan ini penulis dapat mencobanya pada komputer yang dipakai oleh penulis dan server untuk automasi yang ada di kediaman penulis.
- Komputer Keseharian Penulis Windows 11 dengan WSL
Komputer penulis yang digunakan dengan wsl 2 di windows 11 dengan detail spesifikasi ini
Versi pkexec
Terdampak oleh kerentanan CVE-2021-4034
- Server Raspberry PI
Server Raspberry PI dengan detail spesifikasi ini
Versi pkexec
Dengan versi pkexec yang sama dan versi ubuntu yang sama ternyata exploit pada Raspberry PI server saya tidak berjalan namun dengan versi yang sama (pkexec) harusnya tetap memiliki celah yang sama. Berikut ini ada beberapa tangkapan layar yang saya dapatkan dari teman-teman saya yang ada di lini masa sosial media saya
- Server Raspberry PI (Jonias SHL)
Terkena Dampak
- Fedora (Jonias SHL)
Tidak Berjalan Exploitnya (pkexec 0.120)
- armbian 5.9.0-arm-64 (Ryan Fabela)
Terkena Dampak
- armbian 5.4.152-flippy-66 (Riyan Firmansyah)
Tidak Terdampak
Lalu cara mitigasi / patching yang disarankan oleh penemu celah CVE-2021-4034 adalah dengan cara merubah permission dari pkexec itu sendiri menjadi 0755 atau -rwxr-xr-x atau drwxr-xr-x yang mana artinya adalah Owner dari pkexec dapat rwx, groupnya r-x dan lainnya r-x (0755)
Patching chmod 0755 /usr/bin/pkexec
Hasil patching di Windows 11 WSL 2, exploit sudah tidak dapat berjalan.
Hasil patching di Raspberry PI Ubuntu 2020, dengan hasil yang sama, exploit tidak bisa berjalan.
Begitulah bentuk mitigasi yang dapat dilakukan untuk mengantisipasi kerentanan CVE-2021-4034 pada komputer Linux yang mungkin anda miliki. Mungkin jika tulisan saya bermanfaat, saya akan berekspresi seperti ini
Terima kasih sekali lagi telah membaca.
Referensi:
- https://seclists.org/oss-sec/2022/q1/80
- https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
- https://github.com/arthepsy/CVE-2021-4034
- https://hugeh0ge.github.io/2019/11/04/Getting-Arbitrary-Code-Execution-from-fopen-s-2nd-Argument/