Raziskovalci pri Qualysu so odkrili varnostno ranljivost v programu Sudo, ki jo je mogoče izkoristiti za pridobitev korenskega dostopa na osebnih računalnikih z operacijskim sistemom Linux!
Kljub dejstvu, da na desettisoče sodelavcev aktivno preučuje izvorno kodo Linuxa jedro in različni pripomočki Unixa, ki iščejo varnostne napake, resne hrošče ni neobičajno neopazno. Pred enim dnevom so ljudje pri Qualysu razkrili nov vektor napada prekoračitve medpomnilnika, ki temelji na kopici in cilja na program "Sudo", da pridobi korenski dostop. Zdi se, da je tokratna napaka precej resna in že skoraj obstaja v kodni bazi 10 let! Čeprav je bila ranljivost stopnjevanja privilegijev že popravljena, bi jo lahko potencialno izkoristili na skoraj vsako distribucijo Linuxa in več Unixu podobnih operacijskih sistemov.
Vstopi baron Samedit
Formalno katalogiziran kot CVE-2021-3156, je bila ranljivost poimenovana Baron Samedit. Zdi se, da je vzdevek igra Baron Samedi in sudoedit pripomoček, saj se slednji uporablja na eni od poti izkoriščanja. Z izkoriščanjem te ranljivosti ima lahko kateri koli neprivilegirani lokalni uporabnik neomejene korenske pravice na ranljivem gostitelju. Bolj tehnično povedano, napaka vključuje nadzorovanje velikosti vmesnega pomnilnika »user_args« (ki je namenjen ujemanju sudoerjev in beleženje), da izvedete prekoračitev medpomnilnika in nepravilno umaknete poševnice nazaj v argumentih za pridobitev korena privilegije.
[EMBED_VIMEO] https://vimeo.com/504872555[/EMBED_VIMEO]
Zakaj je Baron Samedit kritična ranljivost
Izkoriščena koda je mogoče izslediti nazaj do julija 2011, ki vpliva na vse podedovane različice Sudo od 1.8.2 do 1.8.31p2 in vse stabilne različice od 1.9.0 do 1.9.5p1 v njihovi privzeti konfiguraciji. Varnostna ranljivost naj bi bila precej nepomembna za izkoriščanje: lokalnemu uporabniku ni treba biti privilegiran uporabnik ali del seznama sudoers. Posledično lahko vsaka naprava, ki poganja celo dokaj sodobno distribucijo Linuxa, postane žrtev te napake. Pravzaprav so raziskovalci iz Qualysa lahko pridobili polne korenske pravice za Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) in Fedora 33 (Sudo 1.9.2).
V XDA na splošno pozdravljamo možnost, da običajni uporabniki pridobijo korenski dostop, vendar obstoja ne slavimo korenskih podvigov, kot je ta, še posebej tistega, ki je tako razširjen in potencialno neverjetno nevaren za končnim uporabnikom. Ranljivost je bila odpravljena v sudo različica 1.9.5p2 objavili včeraj, hkrati pa je Qualys javno razkril svoje ugotovitve. Naše bralce prosimo, da takoj nadgradijo na sudo 1.9.5p2 ali novejšo različico, čim prej.
Kako preveriti, ali na vas vpliva Baron Samedit
Če želite preizkusiti, ali je vaše okolje Linux ranljivo ali ne, se prijavite v sistem kot nekorenski uporabnik in nato zaženite naslednji ukaz:
sudoedit -s /Ranljiv sistem bi se moral odzvati z napako, ki se začne z sudoedit:. Če pa je sistem že popravljen, bo prikazal napako, ki se začne z usage:.
Vir: Blog Qualys
prek: Bleeping Computer