最近公開されたSudoのセキュリティ問題により、認証されていないハッカーが任意のLinuxデバイスでルート権限をエスカレートできるようになります。この欠陥は2011年に取り込まれ、約10年間発見されませんでした。
Linux Sudo 脆弱性の説明
Sudoはシステム管理者向けの標準サービスで、ほとんどのUnixおよびLinux環境で広く適用されています。このユーティリティは、管理者が特定のユーザーに限定的なルートアクセスを提供できるようにする権限委譲を保証します。
Baron Sameditと名付けられたこの欠陥(CVE-2021-3156)は、ヒープバッファオーバーフローの問題です 存在する 引数のバックスラッシュの処理が不適切なためです。具体的には、Sudoがシェルモードでコマンドを実行し、-sまたは-iのラインパラメータを追加する場合に問題が発生します。このコードのミスコンフィギュレーションにより、ユーティリティはコマンドの引数内の特定のシンボルをバックスラッシュでエスケープします。その後、別のミスコンフィギュレーションがコマンドラインの解析中にメモリ処理を不適切にトリガーし、その結果、ヒープベースのバッファのオーバーフローを可能にします。
セキュリティ実務者は、この欠陥がボットネットオペレーターによって野生で大規模に悪用される可能性があると考えています。例えば、敵対者は一連のブルートフォース攻撃を開始して低レベルのSudoアカウントを制御することができます。その後、攻撃者はBaron Sameditの欠陥を適用して管理者アクセスとターゲットサーバーの完全な制御を取得する可能性があります。
CVE-2021-3156: 検出と緩和策
Qualysのセキュリティ監査会社は今年この欠陥を発見し、 主要なLinuxディストリビューション向けの3つの動作するエクスプロイト を作成しました。これらのエクスプロイトは、認証されていないローカルユーザーにターゲットインスタンスで最高権限を取得する能力を提供します。
長期間欠陥が発見されなかったため、ほとんどのSudoのレガシーバージョン(1.8.2 – 1.8.31p2)およびすべての安定版リリース(1.9.0 – 1.9.5p1)が影響を受けることが判明しました。Sudoの開発者は、1.9.5p2リリースで問題を修正しました。
Sudoの脆弱性攻撃からのサイバー防御を強化するため、ArcSight用のSOC Primeの専用ルールパックをダウンロードすることができます:
https://tdm.socprime.com/tdm/info/URTIfNOT9GAX/9Lg2RHcBR-lx4sDxSnvb/
2021/02/02のアップデート: SOC Primeチームは、Sudoヒープバッファオーバーフロー脆弱性に関連するいかなるエクスプロイト試みのプロアクティブな検出を目的とした新しいSigmaルールをリリースしました。弊社のThreat Detection Marketplaceプラットフォームから検出コンテンツをダウンロードできます。
Sudoヒープベースのバッファオーバーフロー悪用の可能性[sudoedit変種] (CVE-2021-3156)
Sudo 脆弱性チェック検出パターン (CVE-202103156)
ルールは以下のプラットフォームに翻訳されています:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness
EDR: Carbon Black
MITRE ATT&CK:
タクティクス:権限の昇格,
テクニック:権限昇格のためのエクスプロイト (T1068)
最新のThreat Detection Marketplaceアップデートにご注目いただき、この厄介な脆弱性に関連する新しいSOCコンテンツをお見逃しなく。すべての新しいルールはこの投稿に追加されます。
無料サブスクリプションを入手 Threat Detection Marketplaceへ、90,000以上のディテクションおよびレスポンスルールを集約する世界有数のContent-as-a-Service(CaaS)プラットフォームです。独自の検出コンテンツを作成したいですか? 弊社のThreat Bountyプログラムに参加 し、グローバルな脅威ハンティングの取り組みに貢献してください。
