Onderzoekers van Qualys hebben een beveiligingsprobleem ontdekt in het Sudo-programma dat kan worden misbruikt om root-toegang te krijgen op Linux-pc's!
Ondanks het feit dat tienduizenden bijdragers zich actief verdiepen in de broncode van Linux kernel en verschillende Unix-hulpprogramma's die op zoek zijn naar beveiligingsfouten, het is niet ongehoord dat er ernstige bugs optreden onopgemerkt. Nog maar een dag geleden onthulden de mensen van Qualys een nieuwe heap-gebaseerde buffer-overflow-aanvalsvector die zich richt op het "Sudo"-programma om root-toegang te verkrijgen. De bug lijkt deze keer behoorlijk ernstig te zijn, en de bug bestaat al bijna in de codebase 10 jaar! Hoewel het beveiligingslek met betrekking tot escalatie van bevoegdheden al is verholpen, kan er mogelijk misbruik van worden gemaakt bijna elke Linux-distributie en verschillende Unix-achtige besturingssystemen.
Baron Samedit komt binnen
Formeel gecatalogiseerd als CVE-2021-3156, de kwetsbaarheid is benoemd Baron Samedit
sudoedit hulpprogramma, aangezien dit laatste wordt gebruikt in een van de exploitpaden. Door misbruik te maken van dit beveiligingslek kan elke lokale gebruiker zonder privileges onbelemmerde root-rechten krijgen op de kwetsbare host. In meer technische termen gaat het om het controleren van de grootte van de “user_args”-buffer (die bedoeld is voor sudoers die overeenkomen met en loggen) om de bufferoverflow uit te voeren en backslashes in de argumenten ten onrechte te verwijderen om root te verkrijgen privileges.
[EMBED_VIMEO] https://vimeo.com/504872555[/EMBED_VIMEO]
Waarom Baron Samedit een kritieke kwetsbaarheid is
De exploiteerbare code teruggaat tot juli 2011, wat van invloed is op alle oudere Sudo-versies van 1.8.2 tot 1.8.31p2 en alle stabiele versies van 1.9.0 tot 1.9.5p1 in hun standaardconfiguratie. Er wordt gezegd dat het vrij triviaal is om het beveiligingsprobleem te misbruiken: de lokale gebruiker hoeft geen bevoorrechte gebruiker te zijn of deel uit te maken van de sudoers-lijst. Als gevolg hiervan kan elk apparaat waarop zelfs een redelijk moderne Linux-distributie draait, mogelijk het slachtoffer worden van deze bug. In feite konden de onderzoekers van Qualys volledige rootrechten verkrijgen op Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) en Fedora 33 (Sudo 1.9.2).
Wij bij XDA verwelkomen over het algemeen de mogelijkheid voor reguliere gebruikers om root-toegang te krijgen, maar we vieren het bestaan ervan niet van root-exploits zoals deze, vooral een die zo wijdverbreid is en potentieel ongelooflijk gevaarlijk is eindgebruikers. De kwetsbaarheid is opgelost in de sudo-versie 1.9.5p2 gisteren vrijgegeven, op hetzelfde moment dat Qualys hun bevindingen openbaar maakte. Onze lezers worden verzocht om zo snel mogelijk onmiddellijk te upgraden naar sudo 1.9.5p2 of hoger.
Hoe u kunt controleren of u last heeft van Baron Samedit
Als u wilt testen of uw Linux-omgeving kwetsbaar is of niet, log dan in op het systeem als een niet-rootgebruiker en voer vervolgens de volgende opdracht uit:
sudoedit -s /Een kwetsbaar systeem zou moeten reageren met een fout die begint met sudoedit:. Als het systeem echter al is gepatcht, wordt er een fout weergegeven die begint met usage:.
Bron: Qualys-blog
Via: Piepende computer