La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a déménagé cette semaine à ajouter une vulnérabilité Linux surnommée PwnKit à son Catalogue des vulnérabilités exploitées connuescitant des preuves d’exploitation active.
Le problème, suivi comme CVE-2021-4034 (score CVSS : 7,8), a été révélé en janvier 2022 et concerne un cas d’élévation de privilèges locaux dans l’utilitaire pkexec de polkit, qui permet à un utilisateur autorisé d’exécuter des commandes comme un autre utilisateur.
Polkit (anciennement appelé PolicyKit) est une boîte à outils permettant de contrôler les privilèges à l’échelle du système dans les systèmes d’exploitation de type Unix et fournit un mécanisme permettant aux processus non privilégiés de communiquer avec les processus privilégiés.
L’exploitation réussie de la faille pourrait amener pkexec à exécuter du code arbitraire, accordant à un attaquant non privilégié des droits d’administration sur la machine cible et compromettant l’hôte.
On ne sait pas immédiatement comment la vulnérabilité est militarisée dans la nature, et il n’y a aucune information sur l’identité de l’acteur menaçant qui pourrait l’exploiter.
Également inclus dans le catalogue est CVE-2021-30533une faille de sécurité dans les navigateurs Web basés sur Chromium qui a été exploitée par un acteur de la menace malveillante surnommé Yosec pour fournir des charges utiles dangereuses l’année dernière.
En outre, l’agence a ajouté le jour zéro Mitel VoIP récemment divulgué (CVE-2022-29499) ainsi que cinq vulnérabilités Apple iOS (CVE-2018-4344, CVE-2019-8605, CVE-2020-9907, CVE-2020- 3837 et CVE-2021-30983) qui ont récemment été découverts comme ayant été abusés par le fournisseur italien de logiciels espions RCS Lab.
Pour atténuer tout risque potentiel d’exposition aux cyberattaques, il est recommandé aux organisations de donner la priorité à la résolution rapide des problèmes. Cependant, les agences fédérales du pouvoir exécutif civil sont tenues de corriger obligatoirement la faille d’ici le 18 juillet 2022.
