Des chercheurs de Qualys ont découvert une faille de sécurité dans le programme Sudo qui peut être exploitée pour obtenir un accès root sur les PC Linux !
Malgré le fait que des dizaines de milliers de contributeurs se penchent activement sur le code source de Linux noyau et divers utilitaires Unix recherchant des failles de sécurité, il n'est pas rare que des bugs sérieux disparaissent inaperçu. Il y a à peine un jour, les gens de Qualys ont révélé un nouveau vecteur d'attaque par débordement de tampon basé sur le tas qui cible le programme "Sudo" pour obtenir un accès root. Le bug cette fois semble être assez grave, et le bug existe dans la base de code depuis presque 10 années! Bien que la vulnérabilité d'élévation de privilèges ait déjà été corrigée, elle pourrait potentiellement être exploitée sur presque toutes les distributions Linux et plusieurs systèmes d'exploitation de type Unix.
Entre le baron Samedit.
Formellement catalogué comme CVE-2021-3156, la vulnérabilité a été nommée
sudoedit utilitaire puisque ce dernier est utilisé dans l’un des chemins d’exploitation. En exploitant cette vulnérabilité, tout utilisateur local non privilégié peut disposer de privilèges root illimités sur l'hôte vulnérable. En termes plus techniques, le bug implique de contrôler la taille du tampon « user_args » (qui est destiné aux sudoers correspondant à et logging) afin d'effectuer le débordement de tampon et de supprimer incorrectement les barres obliques inverses dans les arguments pour obtenir la racine privilèges.
[EMBED_VIMEO] https://vimeo.com/504872555[/EMBED_VIMEO]
Pourquoi Baron Samedit est une vulnérabilité critique
Le code exploitable remonte à juillet 2011, qui affecte toutes les anciennes versions de Sudo de 1.8.2 à 1.8.31p2 et toutes les versions stables de 1.9.0 à 1.9.5p1 dans leur configuration par défaut. La vulnérabilité de sécurité est considérée comme plutôt triviale à exploiter: l'utilisateur local n'a pas besoin d'être un utilisateur privilégié ou de faire partie de la liste des sudoers. En conséquence, tout appareil exécutant même une distribution Linux assez moderne peut potentiellement être victime de ce bug. En fait, les chercheurs de Qualys ont pu obtenir tous les privilèges root sur Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) et Fedora 33 (Sudo 1.9.2).
Chez XDA, nous accueillons généralement favorablement la possibilité pour les utilisateurs réguliers d'obtenir un accès root, mais nous ne célébrons pas l'existence d'exploits root comme celui-ci, en particulier celui qui est si répandu et potentiellement incroyablement dangereux pour les utilisateurs finaux. La vulnérabilité a été corrigée dans le sudo version 1.9.5p2 publié hier, au même moment où Qualys divulguait publiquement ses conclusions. Nos lecteurs sont priés de passer immédiatement à sudo 1.9.5p2 ou version ultérieure dès que possible.
Comment vérifier si vous êtes concerné par Baron Samedit
Si vous souhaitez tester si votre environnement Linux est vulnérable ou non, connectez-vous au système en tant qu'utilisateur non root, puis exécutez la commande suivante :
sudoedit -s /Un système vulnérable doit répondre avec une erreur commençant par sudoedit:. Cependant, si le système est déjà patché, il affichera une erreur commençant par usage:.
Source: Blog Qualys
Via: Ordinateur qui bipe