A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) mudou esta semana para adicionar uma vulnerabilidade do Linux chamada PwnKit ao seu Catálogo de vulnerabilidades exploradas conhecidas, citando evidências de exploração ativa.
O problema, rastreado como CVE-2021-4034 (Pontuação CVSS: 7,8), veio à tona em janeiro de 2022 e diz respeito a um caso de meta de escalonamento de privilégios locais no utilitário pkexec do pwnkit, que permite que um usuário autorizado execute comandos como outro usuário.
Polkit (anteriormente chamado de PolicyKit) é um kit de ferramentas para controlar privilégios de todo o sistema em sistemas operacionais do tipo Unix e fornece um mecanismo para processos não privilegiados se comunicarem com processos privilegiados.
A exploração bem-sucedida da falha pode induzir o pkexec a executar código arbitrário, concedendo a um invasor sem privilégios direitos administrativos na máquina de destino e comprometendo o host.
Não está imediatamente claro como a vulnerabilidade está sendo armada na natureza, nem há informações sobre a identidade do agente da ameaça que pode estar explorando-a.
Também está incluído no catálogo o destino CVE-2021-30533, uma falha de segurança em navegadores baseados em Chromium que foi aproveitado por um agente de ameaças de malvertising codinome Yosec para entregar cargas perigosas no ano passado.
Além disso, a agência adicionou o recém-divulgado Mitel VoIP zero-day (CVE-2022-29499), bem como cinco vulnerabilidades do Apple iOS (CVE-2018-4344, CVE-2019-8605, CVE-2020-9907, CVE-2020-3837 e CVE-2021-30983 ) que foram recentemente descobertos como tendo sido abusados pelo fornecedor italiano de spyware RCS Lab.
Para mitigar qualquer risco potencial de exposição a ataques cibernéticos, é recomendável que as organizações priorizem a correção oportuna dos problemas. As agências do Poder Executivo Civil Federal, no entanto, são obrigadas a corrigir obrigatoriamente a falha até 18 de julho de 2022.
Fonte: TheHackerNews
