ありふれたツールに潜むLinux脆弱性(CVE-2021-4034: PwnKit)
このところ大変な日々を送っているシステム管理者は多いかもしれません。多くの組織が、過去2ヶ月間に明らかになったLog4jの脆弱性の影響を排除するために尽力していらっしゃるでしょう。しかし残念ながら、悪いニュースは後を絶ちません。最新の発見は、pkexecと呼ばれる人気のあるLinuxプログラムにある、簡単に悪用されるバグです。
この不具合は、過去12年以上にわたって見え隠れしていました。幸い、このバグを発見した研究者はベンダーと積極的に協力しており、発表時点ではほぼすべての主要ディストリビューションの上流レポジトリに修正プログラムが用意されています。
PwnKitとは?
この脆弱性(CVE-2021-4034)は、それを発見したQualys社の研究者によって、「PwnKit」と呼び名がつけられています。これは、pkexecがPolkit(旧PolicyKit)と呼ばれるアプリケーションレベルのツールキットに含まれているためだと言われています。
Polkitは、Unix系OSにおいて、非特権プロセスが特権プロセスと通信できるようにするために使用されます。また、pkexecを使用することで、ユーザが高い権限でコマンドを実行することを可能にします。
PwnKitが危険である理由はいくつかあります。
・2009年以降のすべてのPolkitバージョンに存在する脆弱性
・Pkexecは、すべての主要なLinuxディストリビューションにデフォルトでインストールされている
・悪用が容易であり、公開から数時間で悪用コードが入手できた
・脅威者が標的のシステムの完全なルート権限を取得し、深刻な被害をもたらす可能性がある。
なぜ注視すべきなのか?
PwnKitはリモートで悪用できるものではありません。しかし、攻撃者が最初に非特権者としてターゲットとなるシステムにログインした場合、脆弱性を利用することができます。これは別のバグを悪用するなどして、ユーザー認証情報を使用することで、最悪の事態を引き起こす危険性に繋がります。
PwnKitを活用することで、攻撃者はrootまで特権を昇格させることができます。このようなシステム権限により、高度な潜伏を行い結果として機密データを盗んだり、ランサムウェアやその他のマルウェアを組織内のあらゆる場所に展開したりすることが可能になります。
Ubuntu、Debian、Red Hat、またはCentOSを使用している場合、脆弱性のあるバージョンのpkexecを実行している可能性があります。他のLinuxディストリビューションも、Solarisや他のUnix系OSと同様に、「脆弱性がある可能性が高く、おそらく悪用される」と言われています。
幸いなことに、Debian、Ubuntu、Red Hatはすでに勧告を発行しており、パッチが利用可能です。CVE-2021-4034 (別名PwnKit)には、できるだけ早くパッチを当てることを強くお勧めします。パッチが利用できない場合、pkexecからSUIDビットを削除することで、悪用可能性を軽減することができますが、運用に影響を与える可能性があり、パッチが適時に適用できない場合の最後の手段としての緩和策と見なし、十分にテストした後に実施する必要があります。
タニウムがどのように役立てるか?
Taniumは、脆弱なpkexecインスタンスを見つけ、悪用の可能性ある端末を特定し、IT環境全体のサイバー・ハイジーンを向上させるための可視性と制御を提供することができます。その方法をご紹介します。
Tanium Interact: Taniumプラットフォームで潜在的な脆弱性のあるインスタンスを見つけます。そして、こちらの投稿で紹介したパッケージを使用して、pkexec上のSUIDビットを削除することで緩和します。すぐにパッチを適用できない場合、組織は適切にパッチを適用する準備をしながら、SUID ビットを削除する緩和策をテストして適用することができます。
Tanium Patch: お客様の環境で動作しているLinux ディストリビューションに、必要に応じてパッチを提供します。組織はスピードとスケールを持ってパッチを適用することを可能にします。
Tanium Comply: 脆弱性を可視化することにより、攻撃されるリスクを可視化します。リスクとコンプライアンスの露出を特定します。
技術的な詳細については英語版となりますが、Tanium Communityの投稿をご覧ください。
今すぐタニウムに問い合わせする
https://www.tanium.jp/contact-us/
ブログ記事に関してご質問やご要望がございましたらこちらからお問い合わせください。