Vulnerabilidad de Sudo permite acceso root en sistemas Linux

27 Enero 2021
Alto

Una de las vulnerabilidades más importantes en la historia de Sudo que ha existido desde hacía 10 años atrás fue parcheada el día de hoy con el lanzamiento de Sudo v1.9.5p2. La vulnerabilidad identificada como CVE-2021-3156 también es conocida por el nombre de “Baron Samedit”. 

Sudo

Sudo es un programa de Unix y heredado por sistemas basados en este (como Linux por ejemplo), el cual da permiso a un administrador de sistemas con privilegios para llevar a cabo cambios y acciones específicas que están limitados para usuarios normales. Se considera como una de las utilidades más usadas y poderosas que viene con un comando central preinstalados en la mayoría de los sistemas operativos basados en UNIX o Linux.

Permisos de root

El punto clave y lo que alerta de esta vulnerabilidad es la capacidad que le otorga a los cibercriminales de tener acceso como root a un sistema sin ningún tipo de autenticación (incluso si el usuario no está listado en el archivo sudoers). Pero, ¿qué significa eso? Root es un súper usuario del sistema, el cual cuenta con permisos especiales para administrar cambios relevantes, instalar aplicaciones (que pueden provocar graves daños en un equipo), entre otros. Es decir, entrega el control total y compromete al equipo y sistemas de la víctima si cae en las manos equivocadas.

En el caso de que un usuario sin estos privilegios quisiera obtenerlos puede ejecutar el comando Sudo para actuar como root, pero para esto debe contar con los permisos o conocer la contraseña del administrador.

Tres exploits disponibles

Qualys, quienes efectuaron esta investigación indican que: “el problema se debe a un desbordamiento de búfer explotable por cualquier usuario local y no se requiere que los atacantes conozcan la contraseña del usuario para explotar con éxito esta vulnerabilidad. Este desbordamiento de búfer permitiría a cualquier usuario local obtener los privilegios de root cuando Sudo elimina incorrectamente las barras diagonales inversas en los argumentos.

El mismo grupo de investigación creó tres exploits para la vulnerabilidad CVE-2021-3156 con el fin de poder mostrar cómo los potenciales atacantes pueden abusar con éxito de esta. 

Usando estos exploits, los investigadores pudieron obtener privilegios de administrador completos en múltiples distribuciones de Linux, incluyendo Debian 10 (Sudo 1.8.27), Ubuntu 20.04 (Sudo 1.8.31) y Fedora 33 (Sudo 1.9.2). Son algunas de las distribuciones más populares.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #Sodu #Linux #Root #Parche
  • Productos Afectados
  • Producto Versión
    Sudo anteriores a 1.9.5p2


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.