Kwetsbaarheid in Sudo gevonden

Fout in Sudo zorgt ervoor dat Linux gebruikers commando’s als root kunnen uitvoeren, terwijl ze hiervoor de rechten niet hebben.

Er is een kritieke kwetsbaarheid CVE-2019-14287 gevonden in Sudo, een van de meest gebruikte, krachtigste en belangrijkste services die standaard wordt geïnstalleerd op bijna alle Unix en Linux gebaseerde besturingssystemen.

Deze kwetsbaarheid gaat om het security beleid van sudo heen en kan ervoor zorgen dat een malafide gebruiker of programma willekeurige commando’s als de root gebruiker op een Linux systeem van een slachtoffer. Zelfs wanneer het “sudoers” configuratiebestand expliciet root toegang verbied.

Standaard is in de meeste Linux distributies, het “ALL” trefwoord in de “RunAs” specificatie in het “/etc/sudoers” bestand opgenomen. Dit zorgt ervoor dat alle gebruikers in een admin of sudo groep alle commando’s kunnen draaien als een willekeurige valide gebruiker op het systeem.

Echter is het scheiden van privileges een van de meest fundamentele security paradigma’s in Linux, waarbij administrators in het “sudoers” configuratiebestand kunnen aangegeven welke gebruikers welke commando’s mogen uitvoeren.

Met deze kwetsbaarheid is het mogelijk als gebruiker om het security beleid te omzeilen en de complete controle over het Linux systeem te krijgen, zelfs wanneer deze is beperkt om bepaalde of helemaal geen commando’s uit te voeren.

Welke versies zijn kwetsbaar?

Alle versies van Sudo voor de laatste versie 1.8.28 zijn kwetsbaar.

Worden de kwetsbaarheid actief misbruikt?

Er is op het moment van schrijven nog niet bekend dat de kwetsbaarheid CVE-2019-14287 actief wordt misbruikt.

Wel is er bekend hoe er misbruik van de kwetsbaarheid gemaakt kan worden. Wanneer een aanvaller sudo privileges op een machine heeft en het user ID “-1″ of 4294967295” meegeeft, zorgt de functie die een user ID omzet naar een username, dan behandeld deze functie onjuist de “user ID’s” -1 en 4294967295 als 0, welke altijd de user ID is van de root gebruiker. Ook worden er geen PAM sessie modules gedraaid, omdat het “user ID” dat gespecificeerd wordt met de -u optie niet bestaat in de wachtwoord database.

Aangezien er bekend is hoe er gebruik gemaakt kan worden van de kwetsbaarheid, verwachten wij misbruik van deze kwetsbaarheid op korte termijn.

Advies

Wij adviseren iedereen die gebruik maakt van Linux systemen om op deze machines de Sudo versie z.s.m. te updaten naar versie 1.8.28. Deze versie is op 14 oktober uitgebracht en zal door de verschillende Linux distributies snel worden uitgerold als update.

Om er zeker van te zijn dat je niet meer kwetsbaar bent voor de genoemde kwetsbaarheid, raden wij aan om het Sudo pakket handmatig te updaten naar de laatste versie, wanneer deze  beschikbaar is.

Veel kleine switches kwetsbaar voor meerdere unauthenticated remote code execution kwetsbaarheden
Backdoor gevonden voor Microsoft SQL server 2012 en 2014

Gerelateerde berichten

No results found

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden

elf − 8 =

Menu