Transbordamento de Buffer Heap no Sudo (CVE-2021-3156) Permite Escalada de Privilégios no Sistema Operacional Linux

[post-views]
Janeiro 29, 2021 · 4 min de leitura
Transbordamento de Buffer Heap no Sudo (CVE-2021-3156) Permite Escalada de Privilégios no Sistema Operacional Linux

Uma vulnerabilidade de segurança recentemente divulgada no Sudo fornece a invasores não autenticados a capacidade de escalar seus privilégios para root em qualquer dispositivo Linux. A falha foi introduzida em 2011 e permaneceu indetectada por quase uma década.

Descrição da Vulnerabilidade do Linux Sudo

Sudo é um serviço padrão para administradores de sistemas, amplamente aplicado na maioria dos ambientes Unix e Linux. Esta ferramenta garante a delegação de autoridade para que os administradores possam fornecer a certos usuários acesso root limitado.

A falha (CVE-2021-3156), apelidada de Baron Samedit, é um problema de estouro de buffer no heap que existe devido ao manuseio inadequado de barras invertidas nos argumentos. Especificamente, o problema ocorre caso o Sudo execute comandos no MODO SHELL e adicione os parâmetros de linha -s ou -i. A configuração incorreta do código faz com que a ferramenta escape símbolos específicos no argumento do comando com uma barra invertida. Em seguida, outra configuração incorreta aciona o manuseio inadequado de memória durante a análise das linhas de comando, permitindo assim o estouro de um buffer baseado em heap.

Especialistas em segurança acreditam que essa falha pode ser fortemente explorada na natureza por operadores de botnets. Por exemplo, adversários poderiam lançar uma série de ataques de força bruta para obter controle sobre contas Sudo de baixo nível. Além disso, atacantes podem aplicar a falha Baron Samedit para obter acesso de administrador e controle total sobre o servidor alvo.

CVE-2021-3156: Detecção e Mitigação

A empresa de auditoria de segurança Qualys encontrou a falha este ano e desenvolveu três exploits funcionais para principais distribuições Linux. Esses exploits fornecem a usuários locais não autenticados a capacidade de alcançar os mais altos direitos nas instâncias alvo.

Como a falha permaneceu indetectada por um longo período, a maioria das versões legadas do Sudo (1.8.2 – 1.8.31p2) e todas as versões estáveis (1.9.0 – 1.9.5p1) foram encontradas impactadas. Os desenvolvedores do Sudo corrigiram o problema com o lançamento da versão 1.9.5p2.

Para melhorar a defesa cibernética contra ataques de vulnerabilidade do Sudo, você pode baixar o pacote de regras dedicado da SOC Prime para ArcSight:

https://tdm.socprime.com/tdm/info/URTIfNOT9GAX/9Lg2RHcBR-lx4sDxSnvb/ 

Atualização de 02/02/2021: A equipe da SOC Prime lançou novas regras Sigma destinadas à detecção proativa de quaisquer tentativas de exploração relacionadas à vulnerabilidade de estouro de buffer no heap do Sudo. Você pode baixar o conteúdo de detecção em nossa plataforma Threat Detection Marketplace.

 

Possível Exploração de Estouro de Buffer Baseado em Heap do Sudo [variantes sudoedit] (CVE-2021-3156)

Padrões de Detecção de Verificação de Vulnerabilidade do Sudo (CVE-202103156)

As regras têm traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, RSA NetWitness

EDR: Carbon Black

MITRE ATT&CK:

Táticas: Escalação de Privilégio,

Técnicas: Exploração para Escalação de Privilégio (T1068)

Fique atento às últimas atualizações do Threat Detection Marketplace e não perca novos conteúdos da SOC relacionados a esta vulnerabilidade desagradável. Todas as novas regras serão adicionadas a este post.

Obtenha uma assinatura gratuita para o Threat Detection Marketplace, uma plataforma líder mundial de Conteúdo como Serviço (CaaS), agregando mais de 90.000 regras de Detecção e Resposta para defesa cibernética proativa. Quer criar seu próprio conteúdo de detecção? Junte-se ao nosso Programa de Recompensa de Ameaças e contribua para as iniciativas globais de caça a ameaças.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.