En kritisk sårbarhed i sudo giver dig mulighed for at få rodprivilegier

masse Qualys sikkerhedsforskere har identificeret en kritisk sårbarhed (CVE-2021-3156) i sudo-værktøj, som er designet til at organisere kommandokørsel på vegne af andre brugere.

Sårbarhed tillader uautentificeret adgang med rodrettigheder. Problemet kan bruges af enhver brugeruanset tilstedeværelsen i systemgrupperne og tilstedeværelsen af ​​en post i / etc / sudoers-filen.

Angrebet kræver ikke indtastning af brugerens adgangskode, det vil sige, at sårbarheden kan bruges af en ekstern person til at hæve privilegier på systemet, efter at sårbarheden er kompromitteret i en ikke-privilegeret proces (inklusive dem, der er startet med brugeren "ingen").

For at søge efter en sårbarhed på dit system skal du blot køre kommandoen "sudoedit -s /" og sårbarheden er til stede, hvis der vises en fejlmeddelelse, der starter med "sudoedit:".

Om sårbarhed

Sårbarheden har dukket op siden juli 2011 og er forårsaget af et bufferoverløb i håndtering af linjetilpasningstegn i parametre beregnet til at udføre kommandoer i shell-tilstand. Shell-tilstanden er aktiveret ved at specificere "-i" eller "-s" argumenterne og får kommandoen til at blive udført ikke direkte, men gennem et yderligere shell-opkald med "-c" flag ("sh -c kommando»).

Den nederste linje er, at når sudo-værktøjet køres normalt, undgår det specialtegnene ved at angive indstillingerne "-i" og "-s", men når sudoedit-hjælpeprogrammet startes, undgår man ikke parametrene som parse_args () Funktionen indstiller miljøvariablen MODE_EDIT i stedet for MODE_SHELL og nulstiller ikke værdien af ​​"valid_flags".

Til gengæld ikke-undsluppet karaktertransmission skaber betingelser for, at en anden fejl vises i controlleren, som fjerner escape-tegnene, før du kontrollerer sudoer-reglerne.

Handleren analyserer forkert tilstedeværelsen af ​​et tilbageslagstegn uden at undslippe i slutningen af ​​linjen, anser den, at denne tilbageslag undgår endnu et tegn og fortsætter med at læse data ud over linjegrænsen, kopiere dem til "user_args" -bufferen og overskrive hukommelsesområder uden for bufferen.

Og det nævnes, at angriberen, når man prøver at manipulere værdierne i sudoedit-kommandolinjen, kan opnå superposition af en omskrivbar kø i de data, der påvirker det efterfølgende forløb af arbejdet.

Ud over at oprette en udnyttelse forenkler det det faktum, at angriberen har fuld kontrol over størrelsen på user_args-bufferen, hvilket svarer til størrelsen på alle de argumenter, der er sendt, og styrer også størrelsen og indholdet af data, der er skrevet uden for bufferen ved hjælp af miljøvariabler.

Qualys sikkerhedsforskere formåede at forberede tre bedrifter, hvis arbejde er baseret på omskrivning af indholdet af sudo_hook_entry, service_user og def_timestampdir strukturer:

  • Ved at afbryde sudo_hook_entry kan en binær med navnet "SYSTEMD_BYPASS_USERDB" køres som root.
  • Overriding service_user formåede at køre vilkårlig kode som root.
  • Ved at tilsidesætte def_timestampdir var det muligt at skylle indholdet af sudo-stakken, inklusive miljøvariabler, ind i / etc / passwd-filen og opnå udskiftning af brugeren med root-rettigheder.

Forskerne har vist, at udnyttelse fungerer for at få fulde rodprivilegier på Ubuntu 20.04, Debian 10 og Fedora 33.

Sårbarhed kan udnyttes på andre operativsystemer og distributioner, men forskernes verifikation var begrænset til Ubuntu, Debian og Fedora, plus det nævnes, at alle sudo-versioner 1.8.2 til 1.8.31p2 og 1.9.0 til 1.9.5p1 i standardindstillingerne påvirkes. Foreslået løsning i sudo 1.9.5p2.

Forskerne har underrettet udviklere på forhånd distributører, der allerede har frigivet pakkeopdateringer på en koordineret måde: Debian, RHEL, Fedor, Ubuntu, SUSE / openSUSE, Arch Linux, Slackware, Gentoo og FreeBSD.

Endelig hvis du er interesseret i at vide mere om det om sårbarheden, kan du kontrollere detaljerne I det følgende link.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.