CISA advierte contra la explotación activa de la vulnerabilidad de Linux 'PwnKit' en estado salvaje

Vulnerabilidad de Linux

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) se movió esta semana a: agregar una vulnerabilidad de Linux llamada PwnKit a su Catálogo de vulnerabilidades conocidas explotadascitando evidencia de explotación activa.

El problema, rastreado como CVE-2021-4034 (Puntuación CVSS: 7,8), descubierto en enero de 2022, es un caso de escalada de privilegios locales en la utilidad pkexec de polkit, que permite a un usuario autorizado ejecutar comandos como otro usuario.

Polkit (anteriormente llamado PolicyKit) es un conjunto de herramientas para administrar privilegios de todo el sistema en sistemas operativos similares a Unix y proporciona un mecanismo para que los procesos sin privilegios interactúen con los procesos privilegiados.

La explotación exitosa de la falla podría causar que pkexec ejecute código arbitrario, otorgando a un atacante no autorizado privilegios administrativos en la computadora de destino y poniendo en peligro el host.

No está claro de inmediato cómo se usa la vulnerabilidad como arma en la naturaleza, ni hay información sobre la identidad del actor de amenazas que puede estar abusando de ella.

El catálogo también incluye: CVE-2021-30533una falla de seguridad en los navegadores web basados ​​en Chromium que fue utilizada el año pasado por un actor de amenazas de publicidad maliciosa llamado Yosec para entregar cargas útiles peligrosas.

Además, la agencia ha agregado las vulnerabilidades de día cero Mitel VoIP recientemente reveladas (CVE-2022-29499) y cinco vulnerabilidades de Apple iOS (CVE-2018-4344, CVE-2019-8605, CVE-2020-9907, CVE-2020- 3837 y CVE-2021-30983) que fueron descubiertos recientemente como explotados por el proveedor italiano de spyware RCS Lab.

Para reducir el riesgo potencial de exposición a ciberataques, se recomienda que las organizaciones prioricen la resolución de los problemas de manera oportuna. Sin embargo, las agencias ejecutivas civiles federales deben corregir el error antes del 18 de julio de 2022.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Subir
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Configurar y más información
Privacidad