Heap-Pufferüberlauf in Sudo (CVE-2021-3156) ermöglicht Privilegieneskalation auf Linux-Betriebssystemen
Inhaltsverzeichnis:
Ein kürzlich offengelegtes Sicherheitsproblem in Sudo ermöglicht es nicht authentifizierten Hackern, ihre Rechte auf einem beliebigen Linux-Gerät zu Root-Rechten zu eskalieren. Die Schwachstelle wurde 2011 importiert und blieb fast ein Jahrzehnt lang unentdeckt.
Beschreibung der Linux-Sudo-Schwachstelle
Sudo ist ein Standarddienst für Systemadministratoren, der in den meisten Unix- und Linux-Umgebungen allgegenwärtig eingesetzt wird. Dieses Dienstprogramm gewährleistet die Autoritätsdelegation, sodass Administratoren bestimmten Benutzern eingeschränkten Root-Zugriff gewähren können.
Die Schwachstelle (CVE-2021-3156), genannt Baron Samedit, ist ein Heap-Pufferüberlaufproblem, das existiert aufgrund unsachgemäßer Behandlung von Rückwärtsschrägstrichen in den Argumenten. Insbesondere tritt das Problem auf, wenn Sudo Befehle im SHELL-MODUS ausführt und -s oder -i Linienparameter hinzufügt. Die Fehlkonfiguration des Codes führt dazu, dass das Dienstprogramm bestimmte Symbole im Befehlsargument mit einem Rückwärtsschrägstrich entkommt. Dann löst eine weitere Fehlkonfiguration eine unsachgemäße Speicherbehandlung beim Parsen von Befehlszeilen aus, was folglich das Überlaufen eines heap-basierten Puffers ermöglicht.
Sicherheitsexperten glauben, dass diese Schwachstelle möglicherweise stark von Botnetzbetreibern ausgenutzt wird. Beispielsweise könnten Angreifer eine Reihe von Brute-Force-Angriffen starten, um die Kontrolle über niedrigstufige Sudo-Konten zu erlangen. Weiterhin könnten Angreifer die Baron Samedit-Schwachstelle anwenden, um Administratorzugriff und volle Kontrolle über den Zielserver zu erhalten.
CVE-2021-3156: Erkennung und Minderung
Das Sicherheitsaudit-Unternehmen Qualys entdeckte die Schwachstelle in diesem Jahr und entwickelte drei funktionierende Exploits für große Linux-Distributionen. Diese Exploits bieten nicht authentifizierten lokalen Benutzern die Möglichkeit, die höchsten Rechte auf den Zielinstanzen zu erlangen.
Da die Schwachstelle über einen langen Zeitraum unentdeckt blieb, wurden die meisten Sudo-Altversionen (1.8.2 – 1.8.31p2) und alle stabilen Releases (1.9.0 – 1.9.5p1) als betroffen eingestuft. Die Sudo-Entwickler haben das Problem mit der Version 1.9.5p2 behoben.
Um die Cyberabwehr gegen Sudo-Schwachstellenangriffe zu verbessern, können Sie das spezielle Regelpaket von SOC Prime für ArcSight herunterladen:
https://tdm.socprime.com/tdm/info/URTIfNOT9GAX/9Lg2RHcBR-lx4sDxSnvb/
Aktualisierung vom 02.02.2021: Das SOC Prime-Team hat neue Sigma-Regeln veröffentlicht, die auf die proaktive Erkennung von Ausbeutungsversuchen im Zusammenhang mit der Sudo-Heap-Pufferüberlaufschwachstelle abzielen. Sie können die Erkennungsinhalte von unserer Threat Detection Marketplace-Plattform herunterladen.
Mögliche Sudo-Heap-basierte Pufferüberlaufausbeutung [sudoedit Varianten] (CVE-2021-3156)
Sudo-Schwachstellenprüfungsmuster (CVE-202103156)
Die Regeln haben Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
Taktiken: Privilegieneskalation,
Techniken: Ausnutzung zur Privilegieneskalation (T1068)
Bleiben Sie über die neuesten Updates des Threat Detection Marketplace auf dem Laufenden und verpassen Sie keine neuen SOC-Inhalte im Zusammenhang mit dieser unangenehmen Schwachstelle. Alle neuen Regeln werden diesem Beitrag hinzugefügt.
Holen Sie sich ein kostenloses Abonnement für den Threat Detection Marketplace, eine weltweit führende Content-as-a-Service (CaaS) Plattform, die über 90.000 Erkennungs- und Reaktionsregeln für proaktive Cyberabwehr aggregiert. Möchten Sie Ihre eigenen Erkennungsinhalte erstellen? Treten Sie unserem Threat Bounty Programm bei und tragen Sie zu den globalen Bedrohungsjagd-Initiativen bei.
