Débordement de Tampon Heap dans Sudo (CVE-2021-3156) Permet une Escalade de Privilèges sur le Système d’Exploitation Linux

Un problème de sécurité récemment dévoilé dans Sudo permet aux pirates non authentifiés d’escalader leurs privilèges au niveau root sur tout appareil Linux. La faille a été introduite en 2011 et est restée indétectée pendant près d’une décennie.

Description de la vulnérabilité de Sudo sous Linux

Sudo est un service standard pour les administrateurs système, qui est appliqué de manière ubiquitaire dans la majorité des environnements Unix et Linux. Cet utilitaire assure la délégation d’autorité afin que les administrateurs puissent fournir à certains utilisateurs un accès root limité.

La faille (CVE-2021-3156), surnommée Baron Samedit, est un problème de débordement de tampon de tas qui existe en raison d’une mauvaise gestion des barres obliques inverses dans les arguments. Plus précisément, le problème se produit dans le cas où Sudo exécute des commandes en MODE SHELL et ajoute les paramètres -s ou -i. La mauvaise configuration du code fait que l’utilitaire échappe à certains symboles dans l’argument de la commande par une barre oblique inversée. Ensuite, une autre mauvaise configuration déclenche une mauvaise gestion de la mémoire lors de l’analyse des lignes de commande, permettant ainsi le débordement d’un tampon basé sur le tas.

Les praticiens en sécurité pensent que cette faille pourrait être fortement exploitée dans la nature par les opérateurs de botnets. Par exemple, les adversaires pourraient lancer une série d’attaques par force brute pour prendre le contrôle des comptes Sudo de bas niveau. Ensuite, les attaquants pourraient exploiter la faille Baron Samedit pour obtenir un accès admin et le contrôle total sur le serveur ciblé.

CVE-2021-3156 : Détection et atténuation

L’entreprise d’audit de sécurité Qualys a découvert la faille cette année et a élaboré trois exploits fonctionnels pour les principales distributions Linux. Ces exploits permettent aux utilisateurs locaux non authentifiés d’atteindre les droits les plus élevés sur les instances ciblées.

Comme la faille est restée indétectée pendant longtemps, la plupart des versions héritées de Sudo (1.8.2 – 1.8.31p2) et toutes les versions stables (1.9.0 – 1.9.5p1) ont été affectées. Les développeurs de Sudo ont corrigé le problème avec la version 1.9.5p2.

Pour améliorer la défense contre les attaques liées à la vulnérabilité de Sudo, vous pouvez télécharger le module de règles dédié de SOC Prime pour ArcSight :

https://tdm.socprime.com/tdm/info/URTIfNOT9GAX/9Lg2RHcBR-lx4sDxSnvb/ 

Mise à jour du 02/02/2021 : L’équipe de SOC Prime a publié de nouvelles règles Sigma destinées à la détection proactive de toute tentative d’exploitation liée à la vulnérabilité de débordement de tampon de tas dans Sudo. Vous pouvez télécharger le contenu de détection depuis notre plateforme Threat Detection Marketplace.

Exploitation possible du débordement de tampon basé sur le tas de Sudo [variantes sudoedit] (CVE-2021-3156)

Motifs de détection de vérification de vulnérabilité de Sudo (CVE-202103156)

Les règles sont traduites pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness

EDR : Carbon Black

MITRE ATT&CK :

Tactiques : Escalade de privilèges,

Techniques : Exploitation pour Escalade de privilèges (T1068)

Restez à l’écoute des dernières mises à jour du Threat Detection Marketplace et ne manquez pas le nouveau contenu SOC lié à cette vilaine vulnérabilité. Toutes les nouvelles règles seront ajoutées à ce post.

Obtenez un abonnement gratuit au Threat Detection Marketplace, une plateforme de contenu en tant que service (CaaS) de premier plan regroupant plus de 90 000 règles de détection et de réponse pour une cyber-défense proactive. Vous souhaitez créer votre propre contenu de détection ? Rejoignez notre programme Threat Bounty et contribuez aux initiatives mondiales de chasse aux menaces.