Een kritieke kwetsbaarheid in Sudo maakt het mogelijk om root-toegang te krijgen in bijna elke Linux-distro. Het beveiligingsonderzoeksteam van Qualys heeft een kritieke kwetsbaarheid in Sudo ontdekt die bijna 10 jaar oud is. De bug genaamd “Baron Samedi” kan worden misbruikt door elke lokale gebruiker en beïnvloedt een groot deel van het Linux-distributie-ecosysteem.
De bug in kwestie kan worden misbruikt om root-privileges te verkrijgen, zelfs als de gebruiker niet in het sudoers-bestand staat, dwz het bestand dat controleert wie, welke, met welke privileges en op welke machines commando’s kunnen uitvoeren, en of wachtwoorden vereist zijn.
Een kritieke kwetsbaarheid in Sudo maakt het mogelijk root-toegang te krijgen in bijna elke Linux-distro
Sudo is een tool waarmee een systeembeheerder autoriteit kan delegeren om bepaalde gebruikers (of groepen gebruikers) de mogelijkheid te geven om sommige (of alle) commando’s als root of een ander type gebruiker uit te voeren, terwijl ze een audittrail van commando’s en hun argumenten geven.
Sudo is bovendien beschikbaar op vrijwel alle Unix-achtige besturingssystemen, en deze kwetsbaarheid werd geïntroduceerd in juli 2011, bijna 10 jaar geleden. Baron Samedi beïnvloedt alle oudere versies van 1.8.2 tot 1.8.31p2, en alle stabiele versies van Sudo van 1.9.0 tot 1.9.5p1 in hun standaardconfiguratie.
De onderzoekers waren in staat om op de kwetsbaarheid te testen en meerdere varianten te ontwikkelen om deze te exploiteren in Ubuntu 20.04, Debian 10, Fedora 33 en Gentoo, maar geven aan dat andere besturingssystemen en distributies waarschijnlijk worden beïnvloed.
Deze kwetsbaarheid kan in de echte wereld worden misbruikt. Als botnet-operators bijvoorbeeld brute-force-aanvallen uitvoeren op low-level accounts, kunnen ze de bug in een tweede deel van de aanval misbruiken om indringers te helpen gemakkelijk root-toegang te krijgen en de volledige controle over een gehackte server te krijgen. En, zoals besproken op ZDNet, botnetaanvallen gericht op Linux-systemen met brute kracht komen tegenwoordig vrij veel voor.
De bug is verholpen door het Sudo-team, dat Qualys bedankte voor hun gedetailleerde rapport, de aanbeveling is om de getroffen systemen zo snel mogelijk bij te werken. Sudo versie 1.9.5p2 moet door elke leverancier worden geïnstalleerd of gepatcht.