Overflow del Buffer Heap in Sudo (CVE-2021-3156) Consente l’Escalation dei Privilegi su OS Linux
Indice:
Un problema di sicurezza recentemente divulgato in Sudo offre agli hacker non autenticati la possibilità di elevare i propri privilegi a root su qualsiasi dispositivo Linux. La vulnerabilità è stata introdotta nel 2011 ed è rimasta inosservata per quasi un decennio.
Descrizione della vulnerabilità di Linux Sudo
Sudo è un servizio standard per gli amministratori di sistema, ampiamente utilizzato nella maggior parte degli ambienti Unix e Linux. Questa utility assicura la delega di autorità affinché gli amministratori possano fornire a certi utenti un accesso root limitato.
La vulnerabilità (CVE-2021-3156), soprannominata Baron Samedit, è un problema di overflow del buffer heap che esiste a causa di una gestione impropria delle barre inverse negli argomenti. In particolare, il problema si verifica nel caso in cui Sudo esegua comandi in SHELL MODE e aggiunga i parametri di linea -s o -i. La configurazione errata del codice fa sì che l’utility esca da simboli specifici nell’argomento del comando con una barra inversa. Poi, un’altra configurazione errata provoca una gestione impropria della memoria mentre vengono analizzate le linee di comando, attivando così l’overflow di un buffer basato su heap.
I professionisti della sicurezza ritengono che questa vulnerabilità possa essere ampiamente sfruttata in natura dagli operatori di botnet. Ad esempio, gli avversari potrebbero lanciare una serie di attacchi a forza bruta per ottenere il controllo su account Sudo di basso livello. Successivamente, gli attaccanti potrebbero applicare la vulnerabilità Baron Samedit per ottenere l’accesso amministrativo e il controllo totale sul server di destinazione.
CVE-2021-3156: Rilevamento e Mitigazione
La società di auditing di sicurezza Qualys ha scoperto la vulnerabilità quest’anno e ha creato tre exploit funzionanti per le principali distribuzioni Linux. Questi exploit permettono a utenti locali non autenticati di ottenere i più alti diritti sulle istanze mirate.
Poiché la vulnerabilità è rimasta inosservata per lungo tempo, è stato trovato che la maggior parte delle versioni legacy di Sudo (1.8.2 – 1.8.31p2) e tutte le versioni stabili (1.9.0 – 1.9.5p1) sono state impattate. Gli sviluppatori di Sudo hanno corretto il problema con la release 1.9.5p2.
Per migliorare la difesa informatica dagli attacchi della vulnerabilità Sudo, potresti scaricare il pacchetto di regole dedicato di SOC Prime per ArcSight:
https://tdm.socprime.com/tdm/info/URTIfNOT9GAX/9Lg2RHcBR-lx4sDxSnvb/
Aggiornamento del 02/02/2021: Il team di SOC Prime ha rilasciato nuove regole Sigma destinate al rilevamento proattivo di qualsiasi tentativo di sfruttamento relativo alla vulnerabilità di overflow del buffer heap di Sudo. Puoi scaricare il contenuto del rilevamento dalla nostra piattaforma Threat Detection Marketplace.
Schemi di rilevamento della vulnerabilità di Sudo (CVE-202103156)
Le regole hanno traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
Tattiche: Escalation dei privilegi,
Tecniche: Sfruttamento per Escalation dei privilegi (T1068)
Resta aggiornato con gli ultimi aggiornamenti del Threat Detection Marketplace e non perdere i nuovi contenuti SOC relativi a questa fastidiosa vulnerabilità. Tutte le nuove regole saranno aggiunte a questo post.
Ottieni un abbonamento gratuito al Threat Detection Marketplace, una piattaforma Content-as-a-Service (CaaS) leader mondiale che aggrega oltre 90.000 regole di detection e response per la difesa informatica proattiva. Vuoi creare il tuo contenuto di rilevamento? Unisciti al nostro programma Threat Bounty e contribuisci alle iniziative globali di caccia alle minacce.
