CVE-2021-3156 es una vulnerabilidad recientemente revelada que afecta a casi todo el ecosistema de Linux. Los investigadores de seguridad de Qualys nombraron la falla principal “Barón samedit,” como afecta “sudoedit -s”.
De acuerdo con la descripción oficial, la vulnerabilidad es un desbordamiento de búfer basado en el montón, y afecta a Sudo antes de 1.9.5p2. Si se explota, el error podría llevar a la escalada de privilegios a la raíz a través de “sudoedit-s” y un argumento de línea de comandos que termina con un solo carácter de barra invertida. Descubierto por el equipo de investigadores de Qualys, la falla ahora está parcheada.
CVE-2021-3156 Descripción técnica
El equipo de Sudo ha proporcionado una explicación del problema de seguridad.:
Se ha descubierto un desbordamiento de búfer grave basado en el montón en sudo que cualquier usuario local puede aprovechar. Su descubridor le ha dado el nombre de Baron Samedit.. El error se puede aprovechar para elevar los privilegios a root, incluso si el usuario no aparece en el archivo sudoers. No se requiere autenticación de usuario para aprovechar el error.
El análisis de Qualys revela que un escenario de explotación exitoso podría permitir a los usuarios sin privilegios obtener privilegios de root en el host vulnerable. El equipo pudo “Verifique de forma independiente la vulnerabilidad y desarrolle múltiples variantes de exploit y obtenga privilegios de root completos en Ubuntu 20.04 (sudo 1.8.31), Debian 10 (sudo 1.8.27), y Fedora 33 (sudo 1.9.2).”
se debe notar que “También es probable que otros sistemas operativos y distribuciones sean explotables.” Si está interesado en el aspecto más técnico de la vulnerabilidad, también puedes ver el Video de prueba de concepto que Qualys proporcionó.
El error de Sudo más grave revelado en los últimos años
Se informaron otros dos errores de Sudo en los últimos años, pero CVE-2021-3156 es más grave. Uno de los errores anteriores es CVE-2019-14287, e involucró la forma en que Sudo implementó comandos en ejecución con ID de usuario arbitrario.
Según el aviso oficial de RedHat, si se escribió una entrada de sudoers para permitir que el atacante ejecute un comando como cualquier usuario excepto root, el atacante podría haber utilizado la falla para eludir esa restricción. Puede leer más sobre este problema anterior en nuestro artículo. “Sudo Bug permite que los usuarios restringidos para ejecutar comandos como raíz“.
La otra vulnerabilidad anterior es CVE-2019-18634, y explotarlo también fue más desafiante.
En cuanto a CVE-2021-3156, Qualys informa que todas las instalaciones de Sudo donde el archivo sudoers (/etc / sudoers) está presente están afectados. Este archivo se puede ver en casi todas las instalaciones predeterminadas de Linux + Sudo.
La actualización de Sudo ya está disponible, y debe aplicarse inmediatamente.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: