Escape da última falha de sudo com o gerenciamento de patches do Desktop Central

O Windows teve um tempo difícil ultimamente, lidando com várias violações como resultado de vulnerabilidades. O Linux, muitas vezes considerado um sistema operacional sem malware, agora está experimentando alguns ataques cibernéticos próprios. Em meio a ameaças como SambaCry e Luabot, que já fizeram sentir sua presença recentemente, há um outro ataque de malware do Linux que parece muito mais ameaçador. Este novo malware explora uma falha do comando sudo, obtendo acesso root a qualquer sistema afetado.

 

O que é sudo?

Sudo significa que “susbsitute user do” ou “super user do”, dependendo do tipo de conta que está executando o comando. No Linux, o usuário root  tem a capacidade de fazer mudanças críticas na máquina, dando-lhes o nome “super usuário”. Aplicações administrativos no Linux podem ser executadas alternando os super usuários – usando o comando sudo – ou tomando proveito do comando sudo. Isto é exatamente onde este novo malware entra em jogo. A Qualys Security descobriu uma vulnerabilidade no comando sudo “get_process_ttyname()” para Linux, que o malware usa para obter acesso irrestrito a recursos administrativos.

Falha do sudo e suas capacidades

A falha reside na forma como o sudo analisa as informações tty do arquivo de status; Esta falha foi identificada como CVE-2017-1000367 pela equipe Qualys Security. Conforme explicado pelos profissionais da Qualys Security, o comando sudo analisa o arquivo de status para determinar o número do dispositivo e o tipo de dispositivo; Ele faz isso localizando o tty no campo 7 (tty_nr). Geralmente, os campos do arquivo de status têm limites de espaço, mas é possível que um nome de comando seja incluído no espaço em branco, que não é contabilizado pelo sudo. Então, um usuário local com privilégio de sudo pode fazer com que o sudo use um número de dispositivo de sua escolha. A consequência disso é a capacidade de substituir qualquer arquivo no sistema de arquivos, incluindo arquivos de propriedade do usuário root.

Há duas maneiras pelas quais essa vulnerabilidade de sudo pode ser explorada:

  1. Um usuário pode escolher um número de dispositivo que corresponda a um terminal atualmente em uso por outro usuário. Isso permite que um invasor execute qualquer comando em um dispositivo terminal arbitrário se eles tiverem acesso de leitura e gravação a partir de um comando sudo. Isso permite que o invasor faça coisas como ler qualquer dado sensível do terminal de outro usuário.
  2. Um usuário também pode escolher um número de dispositivo que atualmente não existe em /dev. Se não for encontrado lá, então o sudo executará uma pesquisa de /dev. Se um terminal psuedo é alocado antes que a pesquisa ocorra, o atacante pode criar um link simbólico para o dispositivo recém-criado em um diretório com script mundial sob /dev (como /dev/hsz). Este arquivo será usado como entrada, saída e erro padrão do comando quando uma função SELinux for especificada na linha de comando sudo. Se o link simbólico em /dev/hsz for substituído por um link para outro arquivo antes de ser aberto pelo sudo, é possível substituir um arquivo arbitrário ao escrever na saída padrão ou erro padrão. Isso pode ser escalado para o acesso root completo, reescrevendo um arquivo confiável, como etc/shadow ou mesmo em etc/sudoers.

 

Como o Desktop Central pode facilmente eliminar essa vulnerabilidade do sudo?

Esta vulnerabilidade afeta Sudo 1.8.6p7 até 1.8.20; É marcado como alta gravidade, e já foi corrigido em Sudo 1.8.20p1. A Red Hat lançou patches para o Red Hat Enterprise Linux 6 e 7, juntamente com o Red Hat Enterprise Linux Server em 30 de maio. A Debian também lançou atualizações para o Wheezy, Jessie e Sid e o SUSE Linux também forneceu atualizações para seus produtos.

A melhor maneira de corrigir esta falha é atualizando seu sistema Linux. E a maneira mais fácil de atualizar todos os seus sistemas Ubuntu e Debian é diretamente no Desktop Central. O Desktop Central vem suportando os últimos patches Debian e Ubuntu desde o dia 31 de maio, imediatamente após o lançamento do respectivo vendedor em 30 de maio.

Ameaças estão surgindo dia a dia para várias plataformas e aplicativos, portanto mantenha sua rede inteira segura de qualquer malware ou adware, atualizando a mesma. Atualize suas máquinas Windows, Mac e Linux e mais de 250 aplicativos de terceiros diretamente através do Desktop Central. Venha conhecer e testar suas funcionalidades.

A equipe ACSoftware seu Distribuidor e Revenda ManageEngine no Brasil terá o prazer em lhe auxiliar nos seus testes.

Fone (11) 4063 1007 – Vendas (11) 4063 9639

Deixe um comentário