osa Qualyse turvateadlased on tuvastanud kriitilise haavatavuse (CVE-2021-3156) sudo utiliidis, mis on loodud korraldama käskude täitmist teiste kasutajate nimel.
Haavatavus lubab juurutamisõigustega autentimata juurdepääsu. Probleem saab kasutada iga kasutaja, sõltumata kohalolekust süsteemirühmades ja kirje olemasolust failis / etc / sudoers.
Rünnak ei nõua kasutaja parooli sisestamist, see tähendab, et haavatavust saab väline isik kasutada süsteemi privileegide tõstmiseks pärast seda, kui haavatavus on rikutud mitteprivilegeeritud protsessis (sealhulgas need, mida alustati kasutajaga "keegi").
Oma süsteemis oleva haavatavuse otsimiseks käivitage lihtsalt käsk "sudoedit -s /" ja haavatavus on olemas, kui kuvatakse tõrke algusega "sudoedit:".
Haavatavuse kohta
Haavatavus on ilmnenud alates 2011. aasta juulist ja on põhjustatud puhvri ületäitumisest reapääsemärkide käsitsemisel parameetrites, mis on mõeldud käskude täitmiseks shellirežiimis. Shelli režiim lubatakse, määrates argumendid "-i" või "-s" ja see põhjustab käsu käivitamise mitte otse, vaid täiendava shellikõne kaudu, millel on lipp "-c" ("sh -c käsk»).
Alumine rida on see, et kui sudo utiliit töötab normaalselt, pääseb see erimärkidest, määrates valikud "-i" ja "-s", kuid utiliidi sudoedit käivitamisel parameetritest ei pääse, kuna parse_args () Funktsioon määrab keskkonnamuutuja MODE_EDIT MODE_SHELL asemel ega lähtesta väärtuse "valid_flags" väärtust.
Omakorda tähemärgi edastamata jätmine loob tingimused teise vea ilmumiseks kontrolleris, mis eemaldab põgenemärgid enne sudoeri reeglite kontrollimist.
Töötleja parsib vale tagasilöögimärgi olemasolu ilma rea lõppu põgenemata arvab ta, et see tagasilöögikoht pääseb veel ühest tähemärgist ja jätkab andmete lugemist üle rea piiri, kopeerides need puhvrisse "user_args" ja kirjutades üle puhvri välised mälualad.
Ja mainitakse, et proovides manipuleerida sudoediti käsurea väärtustega, võib ründaja saavutada andmetes ümberkirjutatava järjekorra pealekandmise, mis mõjutab töö järgnevat käiku.
Lisaks ekspluateerimise loomisele lihtsustab see ka seda, et ründajal on täielik kontroll user_args puhvri suuruse üle, mis vastab kõigi edastatud argumentide suurusele, ning kontrollib ka väljaspool puhvrit kirjutatud andmete suurust ja sisu, kasutades keskkonnamuutujad.
Qualysi turvateadlastel õnnestus ette valmistada kolm ärakasutamist, mille töö põhineb sudo_hook_entry, service_user ja def_timestampdir struktuuride sisu ümberkirjutamisel:
- Sudo_hook_entry katkestades võib binaarse nimega "SYSTEMD_BYPASS_USERDB" käitada root.
- Service_user'i ülevõtmisel õnnestus suvaline kood juurena käivitada.
- Def_timestampdir tühistades oli võimalik sudo virna sisu, sealhulgas keskkonnamuutujad, faili / etc / passwd sisse viia ja kasutaja asendada juurõigustega.
Teadlased on näidanud, et kasutab ära tööd täielike juurõiguste saamiseks Ubuntu 20.04, Debian 10 ja Fedora 33.
Haavatavus saab kasutada teistes opsüsteemides ja distributsioonides, kuid teadlaste kontroll piirdus Ubuntu, Debiani ja Fedoraga, lisaks mainitakse, et vaikeseadetes on mõjutatud kõik sudo versioonid 1.8.2 kuni 1.8.31p2 ja 1.9.0 kuni 1.9.5p1. Soovitatav lahendus sudos 1.9.5p2.
Teadlased olen sellest arendajaid eelnevalt teavitanud turustajad, kes on pakettide värskendused juba kooskõlastatud viisil välja andnud: Debian, RHEL, Fedor, Ubuntu, SUSE / openSUSE, Arch Linux, Slackware, Gentoo ja FreeBSD.
Lõpuks kui olete huvitatud sellest rohkem teada saama haavatavuse kohta saate üksikasju vaadata Järgmisel lingil.