Una vulnerabilidad en el componente pkexec de Polkit identificada como PwnKit está presente en la configuración predeterminada de todas las principales distribuciones de Linux y puede explotarse para obtener privilegios de root completos en el sistema, advierten hoy los investigadores.
El origen de PwnKit data de hace más de 12 años y su principal función es negociar la interacción entre procesos privilegiados y no privilegiados, permitiendo a un usuario autorizado ejecutar comandos como otro usuario, duplicándose como una alternativa al comando sudo.
Un virus que aprovecha los permisos de Linux
Si bien la total ausencia de virus en Linux es un mito, sí es un hecho que en caso de existir, en volumen son reducidos. El problema radica en los casos en que se encuentran entre medio los permisos de administrador, que en sencillas palabras son la condición que al otorgarse, ejercen el poder sobre el sistema al aceptar o denegar órdenes.
Según reportan desde Qualys, firma de seguridad, esta vulnerabilidad existe desde aproximadamente hace 12 años y que puede afectar a populares distribuciones como Ubuntu, Debian, Fedora y CentOS. Bharat Jogi, Director de Investigación de Vulnerabilidades y Amenazas de Qualys comentó que PwnKit es «una vulnerabilidad de corrupción de memoria en Polkit’s, que permite a cualquier usuario sin privilegios de root obtener privilegios de root completos en un sistema vulnerable utilizando la configuración predeterminada de polkit». El investigador agregó que el tema se ha estado ocultando a plena vista desde la primera versión de pkexec inn mayo de 2009.
Los expertos en seguridad señalaron, tras dar a conocer esta situación, que no debería tardar la aparación de un exploit, un software diseñado para explotar esta vulnerabilidad. A solo tres horas de la publicación de este hallazgo, apareció uno en la web.
Este hallazgo data desde noviembre del año pasado. El error había estado presente durante siete años, desde la versión 0.113 del componente y afectó a las distribuciones populares de Linux, incluidas RHEL 8, Fedora 21 (o posterior), Ubuntu 20.04 y versiones inestables de Debian (‘bullseye’) y sus derivados, según BleepingComputer. Los desarrolladores de las principales distribuciones fueron notificados anticipadamente y actualmente, ya existe un parche de seguridad que varios sistemas ya están ofreciendo como actualización mediante sus repositorios de software.