Corrija uma falha catastrófica no comando sudo do Linux com o Desktop Central da ManageEngine

Foi divulgada uma vulnerabilidade crítica no sudo, que quando explorada, permite que os usuários ignorem as restrições de segurança e executem comandos como o usuário root. Essa falha de segurança deve ser rapidamente remediada, pois o sudo é uma das funcionalidades mais integrais e comumente usadas nos sistemas operacionais Linux.

Informações sobre sudo

Sudo significa “Superusuário Do”. Para executar um comando com privilégios elevados, como o de um super usuário, a palavra “sudo” é normalmente adicionada como um prefixo para esse comando. Isso faz do sudo um utilitário eficaz de segurança e gerenciamento, pois permite que vários usuários com credenciais apropriadas tomem decisões em nível administrativo.

Embora possa haver vários usuários com privilégios elevados, o Linux ainda oferece boa segurança, pois cada usuário e suas qualificações são meticulosamente gerenciados. Essa rigidez também se aplica ao comando sudo; somente os usuários listados no arquivo/etc/ sudoers têm permissão para executar comandos sudo. Além disso, esses usuários são classificados em três níveis de acesso:

1.  Os poucos usuários confiáveis ​​que têm permissão para executar comandos como todos os usuários, incluindo usuários raiz.

2.  Os usuários que têm permissão para executar comandos como todos os usuários, exceto o usuário raiz.

3.  Os usuários que têm permissão para executar comandos apenas como outros usuários específicos.

Quem pode explorar essa vulnerabilidade usando o sudo?

Esta vulnerabilidade (CVE-2019-14287) pode ser explorada apenas por usuários incluídos nas duas primeiras categorias mencionadas acima. Isso ocorre porque no arquivo/etc/sudoers, nas especificações RunAs nas duas primeiras seções, a palavra-chave ALL é mencionada entre colchetes e após o sinal de igual.

Como mostrado abaixo no arquivo/etc/ sudoers, para userA e userB (após o sinal de igual e entre colchetes), a palavra-chave ALL é mencionada primeiro e, para userD e userE, não é.

Linux Sudo

Nesse cenário, userA e userB têm privilégios sudo suficientes, mas não têm acesso root. Eles podem explorar a vulnerabilidade e elevar seus privilégios aos do userC, que inclui acesso root. Um resumo de cada usuário e sua capacidade de explorar a vulnerabilidade é mostrado abaixo.

Falha no sudo do Linux

Como exatamente o ataque ocorre?

Os usuários com privilégios de sudo teriam que fornecer seu próprio nome de usuário e senha para receber permissão para executar comandos sudo. No entanto, entre os usuários nos dois primeiros níveis de acesso, qualquer pessoa com intenções hostis pode direcionar qualquer terminal Linux e sequestrar o controle completo apenas digitando o nome de usuário como:

•  -u# -1 id -u

Ou

•  -u# 4294967295 id -u

Durante o processo de conversão de IDs do usuário em nomes de usuários, o -1 ou 4294967295 são traduzidos incorretamente como 0, que é o ID do usuário raiz. Além disso, o formato -u não é reconhecido no banco de dados de senhas, o que significa que a autenticação dinâmica por senha também não ocorre.

Como você pode ver, os invasores poderão explorar facilmente essa vulnerabilidade. Felizmente para os administradores Linux, também é fácil corrigi-lo! 

O que você pode fazer sobre esta vulnerabilidade?

Para esta vulnerabilidade, descoberta por Joe Vennix, da Apple Information Security, como medida de precaução, um script que pode detectar todas as palavras-chave intencionais ou não intencionais mencionadas nos níveis de acesso no arquivo / etc / sudoers pode ser implantado manualmente ou via Desktop Central .

Como mostrado abaixo, no console do Desktop Central, se a vulnerabilidade não afetou o sistema, a configuração do script será executada com êxito; no entanto, se a vulnerabilidade já tiver sido explorada, a execução falhará.

Desktop Linux central

Se a vulnerabilidade foi explorada, o robusto recurso de gerenciamento de patches do Desktop Central (também disponível como solução autônoma: Patch Manager Plus) pode despachar rapidamente a versão mais recente do sudo e outros patches relevantes para os pontos de extremidade do Ubuntu e Debian.

DC do sudo do Linux

As atualizações também serão disponibilizadas para implantação em outras grandes distribuições, como RedHat e CentOS, assim que forem lançadas pelos fornecedores associados.

Comece a proteger seus sistemas agora mesmo com o Desktop Central. Clique no botão abaixo e inicie sua avaliação gratuita por 30 dias.

Deixe um comentário

Blog ACSoftware - ManageEngine