重大なオープンソースの脆弱性が新たに発見されました。主要なLinuxディストリビューションや一部のUNIXライクなオペレーティングシステムで使用される人気のあるコンポーネントであるため、ソフトウェア開発組織に、それも広範囲に影響を与える可能性があります。 非特権プロセスが特権プロセスと対話するためのメソッドを提供するPolKitの脆弱性には、CVE-2021-4034が割り当てられ、「PwnKit」と命名されました。
CVE-2021-4034は、経験の浅い攻撃者にも、多数のシステムにアクセスして管理者権限を使用する簡単な方法を提供する可能性があります。pkexecのメモリ破壊とソフトウェアの他のいくつかの弱点を連鎖させることにより、特権のないローカルユーザーが完全なルート権限を取得し、脆弱なホストのネットワークを移動して機密データを盗み、ステルス、永続性、機能を強化した追加の攻撃の基礎を築くことができます 。
この脆弱性を悪用するには脅威アクターがすでにローカルアクセスを持っている必要があります。これは脆弱なコンポーネントが外部トラフィックをリッスンしないためです。しかし、経験の浅い攻撃者でも簡単に悪用できるため、セキュリティレベルが高くなります。
セキュリティ研究者はすでに独自に脆弱性を検証しており、完全なルート権限を与えるエクスプロイトを開発することができ、さまざまなターゲットで簡単に悪用されることを確認しました。
NVDがCVE-2021-4034でスコアを公開する前に、シノプシスはBlackDuck®セキュリティアドバイザリBDSA-2022-0246を発行して7.8のCVSSスコアを割り当てています。
スコアが7.8というのは「重大度の高い」脆弱性のことで、すぐに対策を実行する必要があります。幸い、この脆弱性に対してすでに利用可能なパッチがあり、システムをすぐに最新バージョンにアップグレードすることが可能です。また、対象のシステムを評価し、必要なパッチとアップグレードを実行する際の一時的な緩和策もあります。
この脆弱性のニュースは、12月に公開されたLog4jの脆弱性に関連して、オープンソースの脆弱性が表面化するサイクルを忘れていたことを思い出した人も多いことでしょう。このような脆弱性は、多くの場合、Log4jを利用しているソフトウェアの大幅な改修を必要とするかもしれません。しかし、真にソフトウェアでビジネスを強化する組織は、リスク評価に費やす時間を最小化し、修復に多くの時間を費やすことができます。つまり、継続的に更新されるソフトウェア部品表(SBOM)こそOSS(オープンソース・ソフトウェア)の脆弱性が新たに見つかったとき、攻撃者に先んじるための鍵なのです。
PolKitパッケージは、開発者が開発中のアプリケーションに取り込むことを決定するものではなく、影響を受けるLinuxディストリビューションがオペレーティングシステムとして使用されているときはいつでも利用できます。これは一種の「パッケージ取引」です。
Linuxの普及の状況を考えると、これは、特にIoTデバイス、組み込みシステム、および仮想マシンテンプレートを開発している組織に固有のリスクをもたらします。ソフトウェアコンポジション解析(SCA)は、この固有のリスクを評価して解決するためにシグネチャ解析とバイナリ解析とを提供しています。ファームウェアを分析し、脆弱なLinuxディストリビューションが含まれているかどうかを判断し、ファームウェアとVMに含まれている追加コンポーネントの完全なリストを用意できるのです。
Log4jのケースでは、包括的なSBOMの情報を備えたBLACK DUCK SECURITY ADVISORIES(BDSA)は、新たに報告された脆弱性を同日通知することで、追加の保護レイヤーを提供しました。