Sudo (substitute user do) är en programvara som kan användas för att tillfälligt ge en eller flera användare ökade rättigheter och möjligheten att köra vissa eller alla kommandon som root. Programmet är förinstallerat på flera Unix-liknande operativsystem, till exempel GNU/Linux.
Nu har en sårbarhet upptäckts av Qualys forskningsteam (CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit)). Det som gör denna sårbarhet speciell jämfört med tidigare sårbarheter i sudo, är att det räcker med standardkonfigurationen för att utan lösenord kunna tilldela användare root-rättigheter, även om de inte finns med i sudoers. Sårbarheten introducerades i källkoden 2011 och påverkar alla versioner mellan 1.8.2 och 1.8.31p2, samt 1.9.0 till 1.9.5p1.
Qualys har framgångsrikt exploaterat sårbarheten på testsystem med Ubuntu 20.04, Debian 10 samt Fedora 33, men det är troligt att den fungerar på alla system med en sårbar version av sudo.
Det är också viktigt att påpeka att det inte är möjligt att fjärrexploatera utan att först utnyttja annan sårbarhet, som medför att man kan exekvera kod på systemet som en lokal användare. En potentiell väg vore att exploatera en sårbar webbapplikation som ett första steg, för att sedan använda sig av CVE-2021-3156 för att tilldela root-rättigheter. Det är därför viktigt att hålla både systemet och koden för webbapplikationen uppdaterad.
Det finns redan uppdateringar tillgängliga för de flesta distributioner. Användare av en sårbar version rekommenderas att uppdatera systemet omgående.
Om du vill ta reda på om ert system är sårbart, kan du exekvera följande rad som icke-root:
sudoedit -s /
Om systemet är sårbart, får du ett felmeddelande som startar med sudoedit:. Ser du istället en rad som börjar på usage: är du inte drabbad av CVE-2021-3156.
GleSYS säkerhetsteam finns tillgängligt för frågor på security@glesys.se
Källa: www.qualys.com
