La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a décidé cette semaine d’ajouter une vulnérabilité Linux appelée PwnKit à son catalogue de vulnérabilités exploitées connues, citant des preuves d’exploitation active. Le problème, identifié comme CVE-2021-4034 (score CVSS : 7,8), a été révélé en janvier 2022 et concerne un cas d’élévation de privilèges locaux dans l’utilitaire pkexec de polkit, qui permet à un utilisateur autorisé d’exécuter des commandes en tant qu’un autre utilisateur. Polkit (anciennement appelé PolicyKit) est une boîte à outils permettant de contrôler les privilèges à l’échelle du système dans les systèmes d’exploitation de type Unix et fournit un mécanisme permettant aux processus non privilégiés de communiquer avec les processus privilégiés. L’exploitation réussie de la faille pourrait amener pkexec à exécuter du code arbitraire, accordant à un attaquant non privilégié des droits d’administration sur la machine cible et compromettant l’hôte. On ne sait pas immédiatement comment la vulnérabilité est militarisée dans la nature, et il n’y a aucune information sur l’identité de l’acteur menaçant qui pourrait l’exploiter. CVE-2021-30533 est également inclus dans le catalogue, une faille de sécurité dans les navigateurs Web basés sur Chromium qui a été exploitée par un acteur malveillant malveillant nommé Yosec pour fournir des charges utiles dangereuses l’année dernière. En outre, l’agence a ajouté le jour zéro Mitel VoIP nouvellement divulgué (CVE-2022-29499) ainsi que cinq vulnérabilités Apple iOS (CVE-2018-4344, CVE-2019-8605, CVE-2020-9907, CVE-2020- 3837 et CVE-2021-30983) qui ont récemment été découverts comme ayant été abusés par le fournisseur italien de logiciels espions RCS Lab. Pour atténuer tout risque potentiel d’exposition aux cyberattaques, il est recommandé aux organisations de donner la priorité à la résolution rapide des problèmes. Cependant, les agences fédérales du pouvoir exécutif civil sont tenues de corriger obligatoirement la faille d’ici le 18 juillet 2022.