Лос Изследователите на сигурността на Qualys са установили критична уязвимост (CVE-2021-3156) в sudo полезност, който е предназначен да организира изпълнението на команди от името на други потребители.
Уязвимост позволява неаутентифициран достъп с права на root. Проблемът може да се използва от всеки потребител, независимо от присъствието в системните групи и наличието на запис във файла / etc / sudoers.
Атаката не изисква въвеждане на парола на потребителя, тоест уязвимостта може да се използва от външно лице за повишаване на привилегии в системата, след като уязвимостта е била компрометирана в непривилегирован процес (включително тези, стартирани с потребителя „никой“).
За да търсите уязвимост във вашата система, просто изпълнете командата "sudoedit -s /" и уязвимостта е налице, ако се покаже съобщение за грешка, започващо със "sudoedit:".
Относно уязвимостта
Уязвимостта се появява от юли 2011 г. и е причинена от препълване на буфер при обработката на символи за бягство от редове в параметри, предназначени за изпълнение на команди в режим на черупка. Режимът на черупката се активира чрез посочване на аргументите "-i" или "-s" и кара командата да не се изпълнява директно, а чрез допълнително извикване на черупката с флага "-c" ("команда sh -c»).
Изводът е, че когато програмата sudo се изпълнява нормално, тя избягва специалните символи, като посочва опциите "-i" и "-s", но когато стартира помощната програма sudoedit, параметрите не се избягват, тъй като parse_args () Функцията задава променливата на околната среда MODE_EDIT вместо MODE_SHELL и не нулира стойността на "valid_flags".
На свой ред, предаването на неекспедиран знак създава условия за появата на друга грешка в контролера, който премахва символите за бягство, преди да провери правилата на sudoer.
Манипулаторът неправилно анализира наличието на обратна наклонена черта без да избягва в края на реда, той счита, че тази обратна наклонена черта избягва още един знак и продължава да чете данни отвъд границата на реда, копирайки ги в буфера "user_args" и презаписвайки областите на паметта извън буфера.
И се споменава, че когато се опитва да манипулира стойностите в командния ред на sudoedit, нападателят може да постигне суперпозицията на опашка за презаписване в данните, която влияе върху последващия ход на работата.
В допълнение към създаването на експлойт той опростява факта, че нападателят има пълен контрол върху размера на буфера user_args, който съответства на размера на всички предадени аргументи, а също така контролира размера и съдържанието на данните, записани извън буфера, използвайки променливи на околната среда.
Изследователите на сигурността на Qualys успяха да подготвят три експлоата, чиято работа се основава на пренаписване на съдържанието на sudo_hook_entry, service_user и def_timestampdir структури:
- Чрез прекъсване на sudo_hook_entry бинарник с име "SYSTEMD_BYPASS_USERDB" може да бъде стартиран като root.
- Замяната на service_user успя да изпълни произволен код като root.
- Чрез заместване на def_timestampdir беше възможно да се изтрие съдържанието на стека sudo, включително променливи на околната среда, във файла / etc / passwd и да се постигне замяната на потребителя с права на root.
Изследователите са показали, че експлоатите работят за да получите пълни права на root на Ubuntu 20.04, Debian 10 и Fedora 33.
Уязвимост може да се използва в други операционни системи и дистрибуции, но проверката на изследователите беше ограничена до Ubuntu, Debian и Fedora, плюс се споменава, че всички версии на sudo 1.8.2 до 1.8.31p2 и 1.9.0 до 1.9.5p1 в настройките по подразбиране са засегнати. Предложено решение в sudo 1.9.5p2.
Изследователите предварително са уведомили разработчиците дистрибутори, които вече са издали актуализации на пакети по координиран начин: Debian, RHEL, Fedor, Ubuntu, SUSE / openSUSE, Arch Linux, Slackware, Gentoo и FreeBSD.
Накрая ако се интересувате да научите повече за това относно уязвимостта, можете да проверите подробностите В следващия линк.