HCL BigFix: Linux の脆弱性 CVE-2021-4034 が活発に悪用されています。今すぐBigFixを使用して是正してください

2022/7/14 - 読み終える時間: 2 分

Linux vulnerability CVE-2021-4034 is actively being exploited. Remediate now using BigFix. の翻訳版です。

Linux の脆弱性 CVE-2021-4034 が活発に悪用されています。今すぐBigFixを使用して是正してください

2022年7月13日

著者: Alessandro De Lorenzi / HCL Product Manager

1月25日、Qualys Research Teamは、PolKitのpkexecコマンドにメモリ破壊の重大な脆弱性が発見されたことを発表し、「PwnKit」と名付け、CVE-2021-4034で追跡しています。PolKitは、主要なLinuxディストリビューションにインストールされているコンポーネントで、Unix系システムにおいてシステム全体の特権を制御する機能を提供します。この脆弱性を悪用することにより、脆弱なホスト上で、非特権ユーザが、デフォルトの設定でこの脆弱性を悪用し、完全なルート権限を獲得することが容易に可能となります。悪用が容易であることに加え、最も懸念される点は、脅威者が侵害されたエンドポイントに痕跡を残すことなく、このバグを悪用できることです。Qualysは、責任ある脆弱性開示に取り組んでおり、この脆弱性を発表するために、ベンダーおよびオープンソースのディストリビューションの両方と調整を行いました。

ここで知っておくべきこと

• この脆弱性は、12年以上前から見え隠れしており、すべてのバージョンのpkexecに影響します。これは積極的に狙われています。
• CISAは2022年6月にこの脆弱性（CVE-2021-4034）を「Known Exploited Vulnerabilities」カタログに追加しました。
• また、米国のサイバーセキュリティ機関は、7月18日までの3週間、すべての連邦民間行政機関（FCEB）機関に対して、悪用の試みを阻止するためのLinuxサーバーのパッチを提供するよう指示しました。
• BigFixでは、修正と緩和のためのフィックスレットを提供しています（下記参照）。

PolKitとPwnKitについて

PolKitは、以前はPolicyKitと呼ばれていたもので、すべての主要なLinuxディストリビューションにデフォルトでインストールされるコンポーネントです。これは、非特権プロセスが特権プロセスと通信するための組織的な方法を提供します。さらに、PolKitにはpkexecというコマンドも含まれており、権限のあるユーザーが別のユーザーとしてコマンドを実行できるようになっています。usernameが指定されていない場合、プログラムは管理用スーパーユーザーであるrootとして実行されます。

PwnKitの欠陥は、pkexecが呼び出しパラメータを処理する方法にあります。このコマンドは、呼び出し元のプログラムに渡された引数の検証を一切行いません。その結果、入力に引数が渡されない場合、コマンドは、環境変数をコマンドとして実行しようとします。攻撃者は、pkexec に任意のコードを実行させるように環境変数を細工することで、これを利用することができます。この攻撃が成功すると、ターゲットマシン上で非特権ユーザーに管理者権限を与え、ローカルな特権の昇格を引き起こす可能性があります。

PwnKitの脆弱性を修正・軽減するためにBigFixを使用してください

修正方法 すべての主要ベンダは、悪用される脆弱性に対応したPolKitのアップデートをすでにリリースしています。BigFixは、サポートされているすべてのLinuxオペレーティングシステム用のフィックスレットをすでに公開しており、この脆弱性の影響を受けるすべてのエンドポイントにそのフィックスレットを展開することを推奨します。

緩和策 BigFix を使用して、一時的な緩和策を利用することができます。 OS にパッチが適用できない場合、OS 向けのパッチがリリースされていない場合、BigFix が OS 向けのパッチを提供していない場合、OS のサポートが終了している場合には、緩和策をお勧めします。

pkexec ファイルから SUID ビットを削除することで、この問題を緩和することができます。ただし、この対策は、デバイス上で動作する他のアプリケーションに影響を与える可能性があるため、本番環境に適用する前に、慎重に使用し、適宜テストする必要があります。この脆弱性の重大性と世界的な存在に鑑み、BigFix は、以下のような公式サポート外のシステム向けに、この脆弱性を緩和するためのフィックスレットも提供しています。

• Debian 10 "Buster"
• CentOS v.6 および v.8
• Ubuntu v. 14.04 および v. 16.04

以下のフィックスレットは、bigfix.me からダウンロード可能です。

• 脆弱性緩和のためのフィックスレット： https://bigfix.me/fixlet/details/26905. pkexec ファイルから SUID-bit を削除するコマンドを実行することで、脆弱性を緩和します。
• 緩和策フィックスレット： https://bigfix.me/fixlet/details/26904. pkexec ファイルのパーミッションをデフォルトに戻します。これは、以前のコマンドをロールバックしたものです。

結論

CISAは、公共部門と民間部門のすべての米国組織に対し、PwnKitを含むKEV（Knows Exploited Vulnerabilities）カタログに記載されている脆弱性の修復を優先することを強く推奨します。BigFixコンソールは、PwnKitの脆弱性を持つすべてのエンドポイントを直ちに特定し、脆弱性を解決するためのアップデートを展開するために必要な機能を備えています。

さらに、最新バージョンのBigFix Insights for Vulnerability Remediationは、改善プロセスをさらに迅速かつ容易にします! CVE-2021-4034で検索すると、これらの脆弱性を解決するクロスOSパッチのリストを簡単に取得でき、自動化機能を活用して、関連するすべてのエンドポイントにすべてのアップデートをワンアクションで導入することが可能です。

今すぐ行動を。

BigFixの詳細については、www.BigFix.com をご覧ください。