Baron Samedit – El grave error de sudo

Baron Samedit – El grave error de sudo (primero en 2021), que obliga a actualizar la herramienta urgentemente.

En estas últimas horas, se está parcheando una grave vulnerabilidad en sudo, que permite a un usuario hacerse con el control total del sistema. La vulnerabilidad fue descubierta hace unas semanas por Qualys, una empresa de seguridad, se le otorgó el identificador CVE-2021-3156, pero se conoce como «Baron Samedit».

Sudo ofrece una explicación en su sitio web oficial. Nos informan que la vulnerabilidad Baron Samedit, permite a un usuario malintencionado con privilegios limitados en el sistema, explotar la herramienta sudo y obtener acceso de root. El atacante puede lograr su objetivo, incluso sin estar incluido en el archivo de configuración /etc/sudoers.

Baron Samedit Primera vulnerabilidad sudo en 2021

Baron Samedit – Primera vulnerabilidad sudo en 2021

 

Baron Samedit – El grave error de sudo

Gracias a los informes del equipo de Seguridad de Qualys, la vulnerabilidad ha sido corregida. En una descripción detallada, Sudo nos explica cómo se puede explotar el error.

«Cuando sudo ejecuta un comando en modo shell, ya sea a través de la opción de línea de comando -s o -i, escapa los caracteres especiales en los argumentos del comando con una barra invertida. El complemento de política de sudoers eliminará los caracteres de escape de los argumentos antes de evaluar la política de sudoers (que no espera los caracteres de escape) si el comando se ejecuta en modo shell.»

«Como en realidad no se ejecuta un comando, sudo no escapa a los caracteres especiales. Esto provoca, que el código que decide si debe eliminar los caracteres de escape, no verifique si realmente estamos ejecutando un comando, tan solo que el indicador de la shell está confiurada.»

Esta inconsistencia es lo que hace que el error sea fácil de explotar.

Vulnerabilidad sudo CVE 2021 3156

Vulnerabilidad sudo CVE-2021-3156

 

Solución a la vulnerabilidad Baron Samedit

Según nos informa Sudo, el error ha sido corregido en la nueva versión sudo 1.9.5p2. Por tanto la solución es fácil, actualizas a la última versión de sudo como se indica en este artículo, o bien… actualizas tu sistema, ya que todas las distribuciones linux comienzan a ofrecer una versión parcheada, aunque esté obsoleta la base se repara el Baron Samedit.

Sudo 1.9.5p2 repara el error Baron Samedit

Sudo 1.9.5p2 repara el error Baron Samedit

 

Verificar si sudo es vulnerable

Para verificar si la versión de sudo instalada en tu sistema es vulnerable, con el siguiente comando (incluye todas las comillas):

sudoedit -s '\' `perl -e 'print "A" x 65536'`

En el siguiente ejemplo, vemos la respuesta en un sistema con sudo vulnerable. Utilizamos un CentOS 7 recién instalado que viene con sudo 1.8.23.

[root@SoloLinux ~]# sudoedit -s '\' `perl -e 'print "A" x 65536'`
Violación de segmento

Ahora actualizamos la versión de sudo, o simplemente actualizamos nuestro sistema. Al concluir cualquiera de los dos procesos, ejecutamos de nuevo el comando verificador de un sudo afectado por el Baron Samedit.

sudoedit -s '\' `perl -e 'print "A" x 65536'`

Si tu sistema está protegido correctamente, se imprime en consola cualquier error absurdo, por ejemplo…

[root@SoloLinux ~]# sudoedit -s '\' `perl -e 'print "A" x 65536'`
usage: sudoedit [-AknS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p
                prompt] [-T timeout] [-u user] file ...

Nuestro sudo esta protegido, felicidades.

 

Canales de Telegram: Canal SoloLinux – Canal SoloWordpress

Espero que este artículo te sea de utilidad, puedes ayudarnos a mantener el servidor con una donación (paypal), o también colaborar con el simple gesto de compartir nuestros artículos en tu sitio web, blog, foro o redes sociales. Baron Samedit – El grave error de sudo.

Chat de SoloLinux en Telegram

 

Agregar comentario

1 logo sololinux

Suscríbete a SoloLinux

Recibe todos los nuevos artículos es tu correo electrónico

You have Successfully Subscribed!

Ir al contenido