Desbordamiento de Búfer en Sudo (CVE-2021-3156) Permite Escalada de Privilegios en el Sistema Operativo Linux
Tabla de contenidos:
Un problema de seguridad recientemente divulgado en Sudo permite a los hackers no autenticados elevar sus privilegios a root en cualquier dispositivo Linux. La falla fue introducida en 2011 y permaneció sin detectar por casi una década.
Descripción de la Vulnerabilidad en Sudo de Linux
Sudo es un servicio estándar para los administradores de sistemas, que se aplica de manera ubicua en la mayoría de los entornos Unix y Linux. Esta utilidad asegura la delegación de autoridad para que los administradores puedan proporcionar a ciertos usuarios acceso limitado a root.
La falla (CVE-2021-3156), apodada Baron Samedit, es un problema de desbordamiento de búfer de montón que existe debido al manejo incorrecto de las barras invertidas en los argumentos. Específicamente, el problema ocurre cuando Sudo ejecuta comandos en el MODO SHELL y agrega los parámetros de línea -s o -i. La mala configuración del código hace que la utilidad escape símbolos específicos en el argumento del comando con una barra invertida. Luego, otra mala configuración desencadena un manejo inadecuado de la memoria al analizar las líneas de comando, lo que permite consecuentemente el desbordamiento de un búfer basado en montón.
Los practicantes de seguridad creen que esta falla podría ser explotada intensamente en la naturaleza por operadores de botnets. Por ejemplo, los adversarios podrían lanzar una serie de ataques de fuerza bruta para ganar control sobre cuentas Sudo de bajo nivel. Además, los atacantes podrían aplicar la falla Baron Samedit para obtener acceso de administrador y control total sobre el servidor objetivo.
CVE-2021-3156: Detección y Mitigación
La compañía de auditoría de seguridad Qualys encontró la falla este año y elaboró tres exploits funcionales para distribuciones de Linux principales. Estos exploits proporcionan a los usuarios locales no autenticados la capacidad de alcanzar los derechos más altos en las instancias objetivo.
Dado que la falla permaneció sin detectar durante un largo período, se encontró que la mayoría de las versiones heredadas de Sudo (1.8.2 – 1.8.31p2) y todas las versiones estables (1.9.0 – 1.9.5p1) estaban afectadas. Los desarrolladores de Sudo parchearon el problema con la versión 1.9.5p2.
Para mejorar la defensa cibernética contra ataques de vulnerabilidad de Sudo, puedes descargar el paquete de reglas dedicado de SOC Prime para ArcSight:
https://tdm.socprime.com/tdm/info/URTIfNOT9GAX/9Lg2RHcBR-lx4sDxSnvb/
Actualización del 02/02/2021: El equipo de SOC Prime lanzó nuevas reglas Sigma dirigidas a la detección proactiva de cualquier intento de explotación relacionado con la vulnerabilidad de desbordamiento de búfer de montón en Sudo. Puedes descargar el contenido de detección desde nuestra plataforma Marketplace de Detección de Amenazas.
Patrones de Detección de Verificación de Vulnerabilidad en Sudo (CVE-202103156)
Las reglas tienen traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
Tácticas: Escalación de Privilegios,
Técnicas: Explotación para Escalación de Privilegios (T1068)
Mantente al tanto de las últimas actualizaciones del Marketplace de Detección de Amenazas, y no te pierdas contenido fresco de SOC relacionado con esta desagradable vulnerabilidad. Todas las nuevas reglas se agregarán a este post.
Obtén una suscripción gratuita al Marketplace de Detección de Amenazas, una plataforma líder mundial de Contenido como Servicio (CaaS) que agrega más de 90,000 reglas de Detección y Respuesta para una defensa cibernética proactiva. ¿Quieres crear tu propio contenido de detección? Únete a nuestro Programa de Recompensas de Amenazas y contribuye a las iniciativas globales de caza de amenazas.