Vulnerabilidad de Sudo: Derechos de raíz para todos gracias a «Baron Samedit»

Una vulnerabilidad no descubierta previamente en «sudo» significa que cualquier usuario puede obtener derechos de root en un sistema Linux /Unix. Aquí se necesita urgentemente un parche rápido.

En el programa Linux «sudo» aparentemente ha habido una vulnerabilidad de seguridad durante unos diez años, lo que permite a los usuarios fingir ser un administrador del sistema, es decir, «root» y dar comandos al sistema. Dado que aproximadamente un tercio de todos los servidores en todo el mundo se ejecutan en un subtipo de Linux, las consecuencias de seguridad son más que graves.

«Debido a la brecha de ‘Baron Samedit’, el atacante salta de ‘Cero’ a ‘Héroe’ con relativamente poco esfuerzo», dice Sascha Schimmler, experto en seguridad de G DATA Advanced Analytics.

Algunos sistemas altamente críticos están en riesgo aquí, desde servidores en empresas hasta los servidores que forman la columna vertebral de la propia Internet. «Cualquiera que comience aquí en los lugares correctos, o más bien equivocados, puede causar un daño inmenso e irreversible», continúa Schimmler. La vulnerabilidad, denominada CVE-2021-3156 y apodada «Baron Samedit», es una de las vulnerabilidades más críticas descubiertas hasta la fecha en el incipiente año 2021.

El nombre «Baron Samedit» es una corrupción irónica del comando «sudoedit», que es crucial para la vulnerabilidad de seguridad. Al mismo tiempo, «Baron Samedi» (en alemán: «Baron Saturday»), es también el nombre de una deidad haitiana conocida por su afición por el ron y el tabaco.

La vulnerabilidad encontrada es problemática de muchas maneras:

  1. Esta brecha ha existido en sudo desde 2011. Durante diez años, ha existido la posibilidad de que los atacantes que tienen la experiencia adecuada hayan explotado la brecha.
  2. Todo lo que un atacante necesita en el sistema es un shell: una vez que lo tiene, no importa qué nivel de permiso tenga una cuenta secuestrada. Incluso una cuenta con derechos mínimos es suficiente aquí.
  3. Si, por ejemplo, hay cuentas de usuario no seguras, inadecuadamente protegidas u olvidadas en el sistema, un atacante puede usarlas para obtener derechos de root. Por lo tanto, es suficiente localizar y hacerse cargo de cualquier cuenta de usuario sin privilegios.

Respuesta ejemplar

Después de que la vulnerabilidad se haya verificado lo suficiente, los investigadores de seguridad involucrados se pusieron en contacto de inmediato con los organismos adecuados e informaron de la vulnerabilidad allí como parte de una divulgación responsable. En 13 días, un parche estaba listo para su distribución, de modo que el público ahora también podía ser informado al respecto. «Este tiempo de respuesta está absolutamente bien cuando se considera la gravedad de la brecha de seguridad y el esfuerzo de coordinación requerido», dice Sascha Schimmler.

Y recordamos: «Baron Samedit» no es la primera vulnerabilidad descubierta en sudo. Ya en 2019, hubo una vulnerabilidad de seguridad con CVE2019-14287, que sirvió a los usuarios sin privilegios derechos de root en bandeja de plata.

¿Qué es sudo?

Tanto en Linux como en Windows, los usuarios tienen la opción de ejecutar ciertos comandos con privilegios diferentes o superiores. En Windows, hay un equivalente a esto que la mayoría de los usuarios conocen como «Ejecutar como administrador». En Linux, el comando es «sudo» – una abreviatura de «Super User, do», al alemán: «Run as a superuser» – para su uso. Normalmente, en ambos sistemas operativos, un archivo de configuración define qué usuarios pueden ejecutar el comando. Si el usuario no está en esta lista, no puede usar el comando para ejecutar comandos en nombre de otro usuario o incluso en nombre del administrador («root»). Por lo tanto, es uno de los programas de sistema potencialmente más potentes en Linux.

Las versiones vulnerables de sudo indican este error.

Versiones afectadas

Las siguientes versiones de sudo son susceptibles a «Baron Samedit»

  1. 1.8.2 a 1.2.31p2 (Legado)
  2. 1.9.0 a 1.9.5p1

Si no está seguro de si su versión es vulnerable, puede probarla usted mismo. Para ello, inicie sesión en un shell con una cuenta de usuario que no tenga derechos de root y no esté en la lista de sudoers. A continuación, escriba el comando:

sudoedit -s / 

Si el sistema es vulnerable a Baron Samedit, el shell devuelve un mensaje de error marcado con

sudoedit: 

Comienza.
Para cerrar la vulnerabilidad, los usuarios deben instalar un parche en el sistema afectado. Esto debería suceder lo antes posible. Los avisos se pueden encontrar en el sitio web del NIST. El hecho es que si no instala inmediatamente los parches que solucionan la brecha de seguridad, está exponiendo sus sistemas a un riesgo completamente incalculable. Una vez que el atacante ha obtenido acceso y se ha promovido a administrador, es demasiado tarde.

Enlace: Derechos de raíz para todos gracias a «Baron Samedit» | G DATOS (gdata.de) Blog de G DATA  Tim Berghoff