CVE-2021-3156 is een onlangs bekendgemaakte kwetsbaarheid die bijna het hele Linux-ecosysteem treft. Beveiligingsonderzoekers van Qualys noemden de belangrijkste fout “Baron Sam bewerken,” zoals het beïnvloedt “sudoedit -s”.
Volgens de officiële beschrijving, de kwetsbaarheid is een heap-gebaseerde bufferoverloop, en het beïnvloedt Sudo vóór 1.9.5p2. Als uitgebuit, de bug kan leiden tot escalatie van privileges naar root via “sudoedit-s” en een opdrachtregelargument dat eindigt met een enkel backslash-teken. Ontdekt door het Qualys-team van onderzoekers, de fout is nu hersteld.
CVE-2021-3156 Technisch overzicht
Het Sudo-team heeft uitleg gegeven over het beveiligingsprobleem:
In sudo is een ernstige, op een hoop gebaseerde bufferoverloop ontdekt die door elke lokale gebruiker kan worden misbruikt. Het heeft de naam Baron Samedit gekregen van zijn ontdekker. De bug kan worden gebruikt om privileges naar root te verhogen, zelfs als de gebruiker niet in het sudoers-bestand staat. Gebruikersauthenticatie is niet vereist om misbruik te maken van de bug.
De analyse van Qualys laat zien dat een succesvol exploit-scenario onbevoegde gebruikers in staat zou kunnen stellen rootprivileges te verkrijgen op de kwetsbare host. Het team was in staat “verifieer onafhankelijk de kwetsbaarheid en ontwikkel meerdere varianten van exploit en verkrijg volledige rootrechten op Ubuntu 20.04 (sudo 1.8.31), Debian 10 (sudo 1.8.27), en Fedora 33 (sudo 1.9.2).”
het zou genoteerd moeten worden dat “andere besturingssystemen en distributies kunnen waarschijnlijk ook worden misbruikt.” Als u geïnteresseerd bent in het meer technische aspect van de kwetsbaarheid, je kunt ook de Bewijs van concept video die Qualys heeft geleverd.
De meest ernstige Sudo-bug die de afgelopen jaren is onthuld
Twee andere Sudo-bugs zijn de afgelopen jaren gemeld, maar CVE-2021-3156 is ernstiger. Een van de vorige bugs is CVE-2019-14287, en het betrof de manier waarop Sudo lopende opdrachten implementeerde met een willekeurige gebruikers-ID.
Volgens het officiële RedHat-advies, als er een sudoers-item is geschreven zodat de aanvaller een commando kan uitvoeren als elke gebruiker behalve root, de fout had door de aanvaller kunnen worden gebruikt om die beperking te omzeilen. U kunt meer lezen over dit oudere nummer in ons artikel “Sudo Bug Hiermee kunnen gebruikers met beperkte rechten om opdrachten uit te voeren als root“.
De andere oudere kwetsbaarheid is CVE-2019-18634, en het exploiteren ervan was ook een grotere uitdaging.
Wat betreft CVE-2021-3156, Qualys meldt dat bij alle Sudo-installaties het sudoers-bestand (/etc / sudoers) aanwezig is aangetast. Dit bestand is te zien in bijna alle standaard Linux + Sudo-installaties.
De Sudo-update is al beschikbaar, en het moet onmiddellijk worden aangebracht.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: