L’équipe de recherche Qualys vient de découvrir une nouvelle vulnérabilité (CVE-2021-4034) de corruption de mémoire dans le programme SUID-root, qui est installé par défaut sur les principales distributions Linux. Cette vulnérabilité est là depuis douze ans, sans que personne ne la débusque. Elle est facilement exploitable et permet à tout utilisateur non privilégié d’obtenir les privilèges complets de root sur un hôte vulnérable, ceci en exploitant cette vulnérabilité dans sa configuration par défaut.
La nouvelle a de quoi alarmer les utilisateurs de Linux, mais pas seulement. L’OS open source est pratiquement à la base du fonctionnement d’Internet, tellement il est répandu. Il se répand également dans le domaine de l’Internet des objets, où sa faible empreinte et sa frugalité énergétique séduisent. C’est aussi dans ce segment naissant que les ravages d’une telle vulnérabilité sont potentiellement les plus dangereux. Ils permettraient aux attaquants de compromettre des d’objets connectés avec des attaques à grande échelle. La vulnérabilité deviendrait alors une pandémie numérique, du fait du nombre d’objets compromis qui se compterait par millions.
Plusieurs distributions Linux déjà compromises
En pratique, la corruption de mémoire s’effectue dans polkit (anciennement PolicyKit), un programme est présent dans pratiquement toutes les distributions Linux modernes. Les chercheurs en sécurité de Qualys ont pu vérifier le fonctionnement de la vulnérabilité, en développant un exploit pour obtenir les privilèges root complets sur les installations par défaut de plusieurs OS Linux : Ubuntu, Debian, Fedora et CentOS.
« D’autres distributions Linux sont probablement vulnérables et probablement exploitables. Cette vulnérabilité se cache au grand jour depuis plus de 12 ans et affecte toutes les versions de pkexec depuis sa première version en mai 2009 (commit c8c3d83, “Add a pkexec(1) command”) », avertissent les chercheurs de Qualys, qui conseillent de patcher leurs systèmes au plus vite. Les clients de Qualys peuvent rechercher la base de connaissances des vulnérabilités pour CVE-2021-4034 afin d’identifier tous les QID et les actifs vulnérables pour cette vulnérabilité.