L Bezpečnostní výzkumníci společnosti Qualys identifikovali kritickou zranitelnost (CVE-2021-3156) v nástroji sudo, který je navržen tak, aby organizoval provádění příkazů jménem ostatních uživatelů.
Zranitelnost umožňuje neověřený přístup s oprávněními uživatele root. Problém může být použit jakýmkoli uživatelem, bez ohledu na přítomnost ve skupinách systému a přítomnost položky v souboru / etc / sudoers.
Útok nevyžaduje zadání hesla uživatele, to znamená, že tuto chybu zabezpečení může použít externí osoba ke zvýšení oprávnění v systému poté, co byla chyba ohrožena v neprivilegovaném procesu (včetně těch, které byly spuštěny uživatelem „nikdo“).
Chcete-li ve svém systému vyhledat chybu zabezpečení, jednoduše spusťte příkaz „sudoedit -s /“ a chyba se zobrazí, pokud se zobrazí chybová zpráva začínající „sudoedit:“.
O zranitelnosti
Chyba zabezpečení se objevila od července 2011 a je způsobena přetečením vyrovnávací paměti při manipulaci s únikovými znaky řádku v parametrech určených k provádění příkazů v režimu prostředí. Režim prostředí je povolen zadáním argumentů "-i" nebo "-s" a způsobí, že příkaz nebude proveden přímo, ale prostřednictvím dalšího volání prostředí s příznakem "-c" ("příkaz sh -c»).
Závěrem je, že když je obslužný program sudo spuštěn normálně, unikne speciálním znakům zadáním voleb "-i" a "-s", ale při spuštění obslužného programu sudoedit nebudou uniknuty parametry, protože parse_args () Funkce nastaví proměnnou prostředí MODE_EDIT namísto MODE_SHELL a neresetuje hodnotu "valid_flags".
Na druhou stranu, neunikající přenos znaků vytváří podmínky, aby se mohla objevit další chyba v řadiči, který před kontrolou pravidel sudoeru odstraní řídicí znaky.
Obsluha nesprávně analyzuje přítomnost znaku zpětného lomítka aniž by unikl na konci řádku, má za to, že toto zpětné lomítko unikne ještě jednomu znaku a pokračuje ve čtení dat nad limit řádku, zkopíruje je do vyrovnávací paměti "user_args" a přepíše oblasti paměti mimo vyrovnávací paměť.
A je zmíněno, že při pokusu o manipulaci s hodnotami v příkazovém řádku sudoedit může útočník dosáhnout superpozice přepisovatelné fronty v datech, která ovlivňuje další průběh práce.
Kromě vytvoření zneužití zjednodušuje skutečnost, že útočník má úplnou kontrolu nad velikostí vyrovnávací paměti user_args, což odpovídá velikosti všech předaných argumentů, a také řídí velikost a obsah dat zapsaných mimo vyrovnávací paměť pomocí proměnné prostředí.
Výzkumníkům zabezpečení Qualys se podařilo připravit tři exploity, jejichž práce je založena na přepsání obsahu struktur sudo_hook_entry, service_user a def_timestampdir:
- Zrušením sudo_hook_entry lze spustit binární soubor s názvem „SYSTEMD_BYPASS_USERDB“ jako root.
- Přepsání service_user se podařilo spustit libovolný kód jako root.
- Přepsáním def_timestampdir bylo možné vyprázdnit obsah sudo zásobníku, včetně proměnných prostředí, do souboru / etc / passwd a dosáhnout nahrazení uživatele právy uživatele root.
Los investigadores prokázali, že vykořisťování funguje získat plná oprávnění root na Ubuntu 20.04, Debian 10 a Fedora 33.
Zranitelnost lze využít na jiných operačních systémech a distribucích, ale ověření vědců bylo omezeno na Ubuntu, Debian a Fedora, navíc je uvedeno, že jsou ovlivněny všechny sudo verze 1.8.2 až 1.8.31p2 a 1.9.0 až 1.9.5p1 ve výchozím nastavení. Navrhované řešení v sudo 1.9.5p2.
Los investigadores předem upozornit vývojáře distributoři, kteří již vydali aktualizace balíčků koordinovaným způsobem: Debian, RHEL, Fedor, Ubuntu, SUSE / openSUSE, Arch Linux, Slackware, Gentoo a FreeBSD.
Konečně pokud máte zájem o tom vědět více o chybě zabezpečení, můžete zkontrolovat podrobnosti Na následujícím odkazu.