Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat diese Woche eine Linux-Schwachstelle namens PwnKit in den Katalog der bekannten Schwachstellen aufgenommen, da es Hinweise auf aktive Ausnutzung gibt.
Die Schwachstelle mit der Bezeichnung CVE-2021-4034 (CVSS-Score: 7.8) wurde im Januar 2022 bekannt und betrifft einen Fall von lokaler Privilegienerweiterung im pkexec-Dienstprogramm von polkit, das es einem autorisierten Benutzer ermöglicht, Befehle als ein anderer Benutzer auszuführen.
Polkit (früher PolicyKit genannt) ist ein Toolkit zur Kontrolle systemweiter Privilegien in Unix-ähnlichen Betriebssystemen und bietet einen Mechanismus, mit dem nicht privilegierte Prozesse mit privilegierten Prozessen kommunizieren können.
Wenn die Schwachstelle erfolgreich ausgenutzt wird, kann pkexec beliebigen Code ausführen, wodurch ein nicht privilegierter Angreifer administrative Rechte auf dem Zielrechner erhält und den Host kompromittiert.
Es ist nicht sofort klar, wie die Schwachstelle in freier Wildbahn ausgenutzt wird, und es gibt auch keine Informationen über die Identität des Angreifers, der die Schwachstelle ausnutzen könnte.
Ebenfalls im Katalog enthalten ist CVE-2021-30533, eine Sicherheitslücke in Chromium-basierten Webbrowsern, die im vergangenen Jahr von einem Malvertising-Angreifer mit dem Codenamen Yosec ausgenutzt wurde, um gefährliche Nutzdaten zu versenden.
Darüber hinaus fügte die Behörde den kürzlich bekannt gewordenen Mitel VoIP Zero-Day (CVE-2022-29499) sowie fünf Apple iOS-Schwachstellen (CVE-2018-4344, CVE-2019-8605, CVE-2020-9907, CVE-2020-3837 und CVE-2021-30983) hinzu, die kürzlich von dem italienischen Spyware-Anbieter RCS Lab missbraucht wurden.
Um das Risiko von Cyberangriffen zu minimieren, wird empfohlen, dass Organisationen die Probleme rechtzeitig beheben. Zivile Bundesbehörden müssen die Schwachstelle jedoch bis zum 18. Juli 2022 beheben.