Vulnerabilidad crítica parcheada en la utilidad &#39sudo&#39 …



Existe un defecto en las versiones de sudo que se remontan a casi 10 años USCYBERCOM recomienda que las organizaciones apliquen parches inmediatamente.

El mantenedor de sudo, una utilidad en casi todos los sistemas operativos basados ​​en Unix y Linux, parcheó esta semana una vulnerabilidad crítica de desbordamiento de búfer en el programa que brinda a los usuarios locales no autenticados una forma de obtener privilegios de root en un sistema host.

Los investigadores de seguridad de Qualys que descubrieron el error de hace casi 10 años (CVE-2021-3156) dicen que se introdujo por primera vez en julio de 2011 y afecta a todas las versiones de sudo desde 1.8.2 a 1.8.31p2 y 1.9. a 1.9.5p1.

Los investigadores pudieron verificar de forma independiente la vulnerabilidad y explotarla de múltiples formas para obtener privilegios de root en Debian 10 con sudo 1.8.27 Ubuntu 20.04 y sudo 1.8.31 y Fedora 33 con sudo 1.9.2, según Qualys. Es possible que otros sistemas operativos y distribuciones sean vulnerables al mismo problema.

No hay mitigaciones disponibles para la amenaza. Qualys recomienda que todas las organizaciones que utilizan distribuciones Unix y Linux con sudo habilitado en ellas implementen inmediatamente los parches proporcionados por el proveedor o actualicen a sudo 1.9.5p2, la última versión de la utilidad. Fue lanzado esta semana.

«Parchear es la única opción», dice Mehul Revankar, vicepresidente de administración e ingeniería de productos en Qualys.

La gravedad del mistake provocó un tuit del Comando Cibernético de EE. UU. (USCYBERCOM) Miércoles, instando a las organizaciones a parchear lo antes posible. «Este es un método mucho más peligroso #Sudo vulnerabilidad que la vista en el pasado reciente «, tuiteó.

Para probar si un sistema es vulnerable, un administrador debe iniciar sesión en el sistema como usuario no root y ejecutar el comando «sudoedit -s /».

«Si el sistema es susceptible, responderá con un mistake que comienza con &#39sudoedit:&#39», dice Revankar. «Si el sistema está parcheado, responderá con un error que comienza con &#39uso:&#39».

Sudo es una utilidad que los administradores pueden utilizar para delegar autoridad de administración a nivel raíz a usuarios específicos o grupos de usuarios mientras registra copiosamente todos sus comandos y actividades. Los administradores pueden usar la utilidad para habilitar o restringir qué comandos puede ejecutar un usuario en un sistema host y para administrar de forma centralizada los privilegios de usuario por host.

El ingeniero de software program Todd Miller, que actualmente mantiene sudo, dijo el martes que el error de desbordamiento del búfer basado en el montón existe en el código que se ejecuta cuando sudo ejecuta un comando en modo shell mediante el uso de las opciones -s y –I. (Leer aquí para obtener más detalles.) Por sí solo, el error es inofensivo. Sin embargo, la presencia de otro error en el código de análisis de la línea de comandos de sudo hace que el descubrimiento del nuevo problema sea peligroso, señala.

«Yo especularía que permaneció sin descubrir durante tanto tiempo porque es una combinación de dos errores», dice Revankar. «Por lo tanto, la gente pudo haber encontrado un mistake, pero lo descartó como inútil porque no encontró el otro».

Un atacante necesitaría acceso neighborhood a un sistema susceptible para aprovechar la vulnerabilidad. En muchos casos, esto mitigaría la gravedad de la falla porque un adversario que ya tiene acceso a un sistema puede hacer mucho daño con ese acceso.

Lo que hace que esta falla sea peligrosa es que un atacante no autenticado puede usarla para escalar privilegios incluso si no aparece en el archivo «sudoers», que asigna derechos de administrador a individuos específicos.

«El usuario no necesita ser un usuario privilegiado, un usuario area o ser parte de la lista de sudoers», dice Revankar. «Por ejemplo, incluso la cuenta &#39nadie&#39 puede explotar el problema. Por eso es tan crítico».

Una vulnerabilidad community generalmente no requiere pánico, ya que un atacante necesita otra vulnerabilidad para obtener acceso al sistema primero, agrega Kelly Shortridge, vicepresidente de estrategia de producto en Capsule8.

«En este caso, además de que la vulnerabilidad está presente durante aproximadamente una década, sudo es una utilidad que está disponible de forma predeterminada en la mayoría de las distribuciones de Linux, lo que supone una enorme huella potencial».

Todo lo que se requiere para que un atacante aproveche la vulnerabilidad es el modo shell y la presencia de una política de sudoers en la infraestructura Linux de una organización, dice.

Shortridge dice que las empresas con un entorno de producción en contenedores están algo protegidas contra el error.

«Si un atacante explota con éxito esta vulnerabilidad, obtendrá acceso de root en el contenedor pero no en el host subyacente en sí», señala.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic