Falla Crítica en Polkit pkexec (PwnKit): Vulnerabilidad que Permite Escalada de Privilegios a Root

Por: Arce Systems

Aunque esta vulnerabilidad fue descubierta y parcheada en 2022, sigue siendo relevante en 2025 para sistemas Linux no actualizados, servidores legacy o entornos donde las actualizaciones no se aplicaron oportunamente. Recordamos esta falla crítica conocida como PwnKit (CVE-2021-4034), que afecta al componente pkexec de Polkit, permitiendo a un atacante local sin privilegios obtener acceso completo como root.

¿Qué es Polkit y pkexec?

Polkit (anteriormente PolicyKit) es un framework de autorización utilizado en la mayoría de las distribuciones Linux modernas (Ubuntu, Debian, Fedora, CentOS/Red Hat, entre otras). Su herramienta pkexec permite ejecutar comandos con privilegios elevados de manera controlada, similar a sudo, pero integrado en entornos gráficos y de políticas de sistema.

El programa pkexec se instala por defecto con permisos SUID-root, lo que significa que se ejecuta con privilegios de administrador independientemente del usuario que lo invoque.

Detalles de la Vulnerabilidad (CVE-2021-4034)

Descubierta por el equipo de investigación de Qualys en enero de 2022, esta falla es una corrupción de memoria causada por un error en el manejo de argumentos en la línea de comandos y variables de entorno.

• Impacto: Un usuario local no privilegiado puede explotarla para ganar privilegios de root sin necesidad de autenticación.
• CVSS Score: 7.8 (Alta).
• Afectados: Todas las versiones de Polkit desde mayo de 2009 (más de 12 años de exposición).
• Explotación: Fácil y no requiere interacción adicional. Existen múltiples pruebas de concepto (PoC) públicas disponibles en GitHub y otros repositorios.

La vulnerabilidad radica en cómo pkexec procesa el vector de argumentos (argv). Si se manipulan correctamente las variables de entorno (como GCONV_PATH o CHARSET), se puede inducir una ejecución arbitraria de código con privilegios root.

¿Por Qué Es Aún Relevante en 2025?

Aunque los principales distribuidores lanzaron parches rápidamente en 2022:

• Ubuntu, Debian, Red Hat, Fedora y otros emitieron actualizaciones inmediatas.
• La vulnerabilidad fue agregada al catálogo de vulnerabilidades explotadas conocidas de CISA (EE.UU.).

Muchos sistemas antiguos, servidores en producción sin mantenimiento o entornos air-gapped podrían seguir vulnerables. Además, en auditorías de seguridad recientes, se ha detectado que algunos administradores no aplicaron los parches, convirtiéndola en un vector común para escalada de privilegios en ataques posteriores a una intrusión inicial.

Cómo Mitigar y Protegerse

1. Actualizar Inmediatamente:
   • En Debian/Ubuntu: sudo apt update && sudo apt upgrade polkit
   • En Red Hat/CentOS/Rocky/AlmaLinux: sudo dnf update polkit o yum update polkit
   • Verificar versión parcheada consultando los advisories oficiales.
2. Mitigación Temporal (si no puedes parchear):
   • Eliminar el bit SUID de pkexec: sudo chmod 0755 /usr/bin/pkexec
   • Esto desactiva la funcionalidad hasta aplicar el parche, pero previene la explotación.
3. Detección:
   • Escanear sistemas con herramientas como Qualys VMDR o escáneres de vulnerabilidades open-source.
   • Monitorear logs por ejecuciones sospechosas de pkexec.

Recomendamos a todos los administradores de sistemas Linux verificar el estado de sus servidores. Una buena práctica de parcheo y gestión de vulnerabilidades es esencial para evitar riesgos como este.

Fuentes:

• Blog de Qualys (descubridores): https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034
• NVD: https://nvd.nist.gov/vuln/detail/CVE-2021-4034
• Advisories de Red Hat, Ubuntu y Debian.

Manténgase seguro y actualizado. ¡Siga news.arcesystems.com.co para más alertas de ciberseguridad!