I ricercatori di Qualys hanno scoperto una vulnerabilità di sicurezza nel programma Sudo che può essere sfruttata per ottenere l'accesso root sui PC Linux!
Nonostante il fatto che decine di migliaia di contributori studino attivamente il codice sorgente di Linux kernel e varie utility Unix alla ricerca di falle di sicurezza, non è raro che vengano rilevati bug gravi inosservato. Solo un giorno fa, i ragazzi di Qualys hanno rivelato un nuovo vettore di attacco buffer overflow basato su heap che prende di mira il programma "Sudo" per ottenere l'accesso root. Il bug questa volta sembra essere piuttosto serio e il bug esiste nel codebase da quasi 10 anni! Sebbene la vulnerabilità relativa all'escalation dei privilegi sia già stata corretta, potrebbe essere potenzialmente sfruttata quasi tutte le distribuzioni Linux e diversi sistemi operativi simili a Unix.
Entra il barone Samedit
Formalmente catalogato come CVE-2021-3156, la vulnerabilità è stata denominata Barone Samedit. Il soprannome sembra essere un gioco
sudoedit utilità poiché quest'ultimo viene utilizzato in uno dei percorsi di exploit. Sfruttando questa vulnerabilità, qualsiasi utente locale non privilegiato può avere privilegi root illimitati sull'host vulnerabile. In termini più tecnici, il bug riguarda il controllo della dimensione del buffer “user_args” (che è pensato per i sudoer che corrispondono e logging) per eseguire l'overflow del buffer e rimuovere erroneamente le barre rovesciate negli argomenti per ottenere root privilegi.
[EMBED_VIMEO] https://vimeo.com/504872555[/EMBED_VIMEO]
Perché Baron Samedit rappresenta una vulnerabilità critica
Il codice sfruttabile risalgono al luglio 2011, che interessa tutte le versioni legacy di Sudo da 1.8.2 a 1.8.31p2 e tutte le versioni stabili da 1.9.0 a 1.9.5p1 nella loro configurazione predefinita. Si dice che la vulnerabilità della sicurezza sia piuttosto banale da sfruttare: non è necessario che l'utente locale sia un utente privilegiato o faccia parte dell'elenco dei sudoers. Di conseguenza, qualsiasi dispositivo che esegue anche una distribuzione Linux abbastanza moderna può potenzialmente cadere vittima di questo bug. Infatti, i ricercatori di Qualys sono riusciti a ottenere i pieni privilegi di root su Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) e Fedora 33 (Sudo 1.9.2).
Noi di XDA generalmente accogliamo con favore la possibilità per gli utenti regolari di ottenere l'accesso come root, ma non ne celebriamo l'esistenza di exploit root come questo, soprattutto uno così diffuso e potenzialmente incredibilmente pericoloso utenti finali. La vulnerabilità è stata risolta in sudo versione 1.9.5p2 rilasciato ieri, nello stesso momento in cui Qualys ha reso pubbliche le proprie scoperte. Ai nostri lettori viene richiesto di eseguire immediatamente l'aggiornamento a sudo 1.9.5p2 o versione successiva il prima possibile.
Come verificare se sei affetto da Baron Samedit
Nel caso in cui desideri verificare se il tuo ambiente Linux è vulnerabile o meno, accedi al sistema come utente non root ed esegui il seguente comando:
sudoedit -s /Un sistema vulnerabile dovrebbe rispondere con un errore che inizia con sudoedit:. Tuttavia, se al sistema sono già state applicate le patch, verrà visualizzato un errore che inizia con usage:.
Fonte: Blog di Qualys
Attraverso: Computer che suona