Cảnh báo về lỗ hổng bảo mật CVE-2021-4034 trong Polkit pkexec ảnh hưởng nghiêm trọng đến hệ điều hành Linux

Ngày 27/01/2022, Cục An toàn thông tin, Bộ Thông tin và Truyền thông đã có Công văn số 144/CATTT-NCSC về lỗ hổng bảo mật CVE-2021-4034 trong Polkit pkexec ảnh hưởng nghiêm trọng đến hệ điều hành Linux.

Cảnh báo về lỗ hổng bảo mật CVE-2021-4034

Cảnh báo về lỗ hổng bảo mật CVE-2021-4034

Theo Cục An toàn thông tin, ngày 25/01/2022, các nhà nghiên cứu bảo mật đã công bố thông tin cảnh báo về lỗ hổng bảo mật CVE-2021-4034 (hay còn gọi là PwnKit) trong thành phần pkexec của Polkit ảnh hưởng nghiêm trọng đến hệ điều hành Linux, cho phép đối tượng tấn công thực hiện tấn công leo thang đặc quyền với một tài khoản người dùng bất kỳ trong hệ thống mục tiêu.

Polkit là một thành phần mặc định của nhiều bản phân phối Linux được dùng để kiểm soát và quản lý các đặc quyền trong hệ thống. Lỗ hổng bảo mật CVE-2021-4034 này có mức ảnh hưởng khá lớn do hệ điều hành Linux đang được sử dụng khá phổ biến trong nhiều hệ thống thông tin của cơ quan, tổ chức hiện nay. Hiện tại đã có mã khai thác được công bố rộng rãi trên Internet.

Lỗ hổng bảo mật CVE-2021-4034 đã được đặt tên là PwnKit và nguồn gốc của nó đã được theo dõi theo cam kết ban đầu của pkexec, hơn 12 năm trước, có nghĩa là tất cả các phiên bản Polkit đều bị ảnh hưởng.

Một phần của khung ứng dụng mã nguồn mở Polkit đàm phán sự tương tác giữa các quy trình đặc quyền và không đặc quyền, pkexec cho phép người dùng được ủy quyền thực thi các lệnh với tư cách là người dùng khác, nhân đôi như một giải pháp thay thế cho sudo.

Đây là Bug nghiêm trọng ảnh hưởng mặc định tất cả các bản phân phối Linux phổ biến (Ubuntu, Debian, Fedora, CentOS…).

>> Tham khảo thêm:

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4034
• https://www.bleepingcomputer.com/news/security/linux-system-service-bug-gives-root-on-all-major-distros-exploit-released/

Mọi thắc mắc và góp ý xin vui lòng bình luận phía dưới, hoặc liên hệ với HOSTVN để được tư vấn và hỗ trợ kịp thời!

• Website: https://hostvn.net
• Điện thoại: 024 4455 3333 (Hà Nội) – 028 4455 3333 (HCM) – Nhánh 1
• Tổng đài miễn cước: 1800 888 939
• Email: kinhdoanh@hostvn.net