CVE-2021-4034 PwnKit : comment détecter et traiter cette vulnérabilité sur PolicyKit ?

Présentation de la CVE-2021-4034 PwnKit
Maxime ALAY-EDDINE
janvier 22, 2022

CVE-2021-4034 PwnKit : une vulnérabilité de type élévation de privilèges qui affecte la technologie PolicyKit

Une nouvelle vulnérabilité a été déclarée le 18 novembre 2021 sur le composant PolicyKit, présent par défaut sur la plupart des distributions Linux.

Cette vulnérabilité, nommée PwnKit, date de plus de 12 ans : elle est en effet présente depuis mai 2009 dans le code de pkexec.

Cette vulnérabilité n’est pas utilisable à distance, et n’est donc pas aussi critique que d’autres alertes récentes (comme Log4Shell ou PrintNightmare par exemple). Néanmoins, cette vulnérabilité reste intéressante dans la mesure où elle affecte de très nombreux systèmes.

Quels sont les systèmes impactés par la CVE-2021-4034 PwnKit ?

La vulnérabilité CVE-2021-4034 a été confirmée par les constructeurs dans les alertes de sécurité suivantes (les versions corrigées sont indiquées entre parenthèses pour chaque système) :

Comment fonctionne PwnKit ?

La vulnérabilité CVE-2021-4034 PwnKit est utilisable par un attaquant qui dispose déjà d’un accès interne à une machine vulnérable. Autrement dit, il faut déjà être entré sur une machine pour ensuite pouvoir utiliser la vulnérabilité, ce qui réduit fortement les risques d’attaque.

L’exploitation de la vulnérabilité passe par un appel à pkexec sans paramètre : dans ce cas, une erreur dans le code du programme provoque un problème de sécurité, par corruption de la mémoire. Cette vulnérabilité peut alors être utilisée pour lancer une console en mode super-utilisateur.

Un article extrêmement complet décrit le mode de fonctionnement technique de l’attaque sur WhiteSource. Attention : l’article est en anglais technique et est réservé à un public averti.

Comment scanner un serveur contre la CVE-2021-4034 ?

Un serveur est vulnérable si la version de policykit installée est inférieure aux versions mentionnées plus haut, et si aucune mitigation n’a été mise en place.

Cyberwatch Vulnerability Manager permet de scanner cette vulnérabilité automatiquement sur votre système d’information.

Comment neutraliser cette vulnérabilité ?

Le recommandation officielle est de mettre à jour policykit vers une version corrigée. Les versions corrigées sont celles indiquées dans la liste située plus haut.

Pour les clients de Cyberwatch, le correctif peut être déployé automatiquement par notre logiciel. Consultez simplement la fiche CVE-2021-4034 de notre encyclopédie des vulnérabilités pour lancer le tout.

Extrait du module de déploiement de correctif de Cyberwatch Vulnerability Manager

Pour installer la mise à jour adaptée, utilisez les lignes de commande de votre gestionnaire de paquets (apt pour les systèmes type Debian, yum pour les systèmes type CentOS, zypper pour les systèmes type SUSE).

Si vous souhaitez automatiser les scans et la correction de cette vulnérabilité, n’hésitez pas à demander une démonstration de nos solutions via le formulaire dédié.

Vous avez des questions ?

Vous souhaitez une démonstration ?

Contactez-nous et nos experts reviendront vers vous sous 24h.

Votre demande