PSA: Se o seu PC roda Linux, você deve atualizar o Sudo agora

Pesquisadores da Qualys descobriram uma vulnerabilidade de segurança no programa Sudo que pode ser explorada para obter acesso root em PCs Linux!

Apesar do fato de que dezenas de milhares de colaboradores se debruçam ativamente sobre o código-fonte do Linux kernel e vários utilitários Unix em busca de falhas de segurança, não é inédito o surgimento de bugs sérios despercebido. Apenas um dia atrás, o pessoal da Qualys revelou um novo vetor de ataque de buffer overflow baseado em heap que tem como alvo o programa “Sudo” para obter acesso root. O bug desta vez parece ser bastante sério e existe na base de código há quase 10 anos! Embora a vulnerabilidade de escalonamento de privilégios já tenha sido corrigida, ela poderia ser potencialmente explorada em quase todas as distribuições Linux e vários sistemas operacionais do tipo Unix.


Entra o Barão Samedit

Formalmente catalogado como CVE-2021-3156, a vulnerabilidade foi nomeada Barão Samedit. O apelido parece ser uma brincadeira Barão Samedi e a

sudoedit utilitário, já que o último é usado em um dos caminhos de exploração. Ao explorar esta vulnerabilidade, qualquer usuário local sem privilégios pode ter privilégios de root irrestritos no host vulnerável. Em termos mais técnicos, o bug envolve controlar o tamanho do buffer “user_args” (que se destina à correspondência de sudoers e registro) para executar o buffer overflow e remover incorretamente as barras invertidas nos argumentos para obter root privilégios.

[EMBED_VIMEO] https://vimeo.com/504872555[/EMBED_VIMEO]

Por que o Barão Samedit é uma vulnerabilidade crítica

O código explorável pode ser rastreado até julho de 2011, que afeta todas as versões herdadas do Sudo de 1.8.2 a 1.8.31p2 e todas as versões estáveis ​​de 1.9.0 a 1.9.5p1 em sua configuração padrão. A vulnerabilidade de segurança é considerada bastante trivial de explorar: o usuário local não precisa ser um usuário privilegiado ou fazer parte da lista de sudoers. Como resultado, qualquer dispositivo que execute mesmo uma distribuição Linux bastante moderna pode ser vítima desse bug. Na verdade, os pesquisadores da Qualys conseguiram obter privilégios de root completos no Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) e Fedora 33 (Sudo 1.9.2).

Nós do XDA geralmente acolhemos com satisfação a capacidade de usuários regulares obterem acesso root, mas não comemoramos a existência de explorações de root como esta, especialmente uma que é tão difundida e potencialmente incrivelmente perigosa para usuários finais. A vulnerabilidade foi corrigida no sudo versão 1.9.5p2 divulgado ontem, ao mesmo tempo em que a Qualys divulgou publicamente suas descobertas. Solicitamos aos nossos leitores que atualizem imediatamente para o sudo 1.9.5p2 ou posterior o mais rápido possível.

Fonte: xkcd

Como verificar se você foi afetado pelo Barão Samedit

Caso você queira testar se o seu ambiente Linux é vulnerável ou não, faça login no sistema como usuário não root e execute o seguinte comando:

sudoedit -s /

Um sistema vulnerável deve responder com um erro que começa com sudoedit:. No entanto, se o sistema já estiver corrigido, será exibido um erro que começa com usage:.


Fonte: Blog Qualys

Através da: Computador bipando