HPE與Apple一起警告用戶存在嚴(yán)重的Sudo漏洞。
惠普公司(Hewlett Packard Enterprise)警告說,其Aruba AirWave管理平臺上使用的開源程序Sudo存在一個漏洞,該漏洞可能允許任何沒有特權(quán)和身份驗證的本地用戶獲得受攻擊主機(jī)的Root權(quán)限。
根據(jù)HPE最近的安全公告,比較嚴(yán)重的Sudo漏洞可能是“鏈?zhǔn)焦簟钡囊徊糠郑础肮粽咄ㄟ^另一個漏洞獲得了較低權(quán)限的立足點,然后利用此漏洞升級權(quán)限”。
Aruba AirWave管理平臺是HPE針對有線和無線基礎(chǔ)設(shè)施的實時監(jiān)控和安全警報系統(tǒng)。今年1月,Qualys的研究人員報告了Sudo漏洞(CVE-2021-3156),據(jù)消息影響數(shù)百萬終端設(shè)備和系統(tǒng)。
Sudo是其他平臺使用的一個程序,根據(jù)Sudo許可證,它“允許系統(tǒng)管理員授權(quán)給特定用戶(或用戶組)以root用戶或其他用戶的身份運行某些(或所有)命令”。
Sudo漏洞或隱藏近10年
在發(fā)現(xiàn)Sudo漏洞時,Qualys的產(chǎn)品管理和工程副總裁Mehul Revankar在一份研究報告中將Sudo缺陷描述為:可能是最近記憶中最重要的Sudo漏洞(無論是在范圍還是影響方面),并且已經(jīng)隱藏了近10年。
就HPE而言,該公司上周公開披露了該漏洞,并表示它影響了8.2.13.0版(于2021年6月18日發(fā)布)之前的AirWave管理平臺。
安全公告稱:“Sudo命令行參數(shù)解析代碼中的一個漏洞可能允許訪問Sudo的攻擊者以root權(quán)限執(zhí)行命令或二進(jìn)制文件。”
Qualys研究人員將Sudo漏洞命名為“Baron Samedit”,并表示該漏洞于2011年7月被引入到Sudo代碼中。該漏洞最初被認(rèn)為僅影響Linux和BSD操作系統(tǒng),包括從Ubuntu 20.04 (Sudo 1.8. 31)、Debian 10 (Sudo 1.8.27) 和 Fedora 33 (Sudo 1.9.2)。從那以后,更多的供應(yīng)商提出了安全警告。
HPE可能是最新一個在其代碼中報告Sudo依賴項的公司,但它可能不會是最后一個。
在2月份,Apple安全公告警告說 macOS(macOS Big Sur 11.2、macOS Catalina 10.15.7、macOS Mojave 10.14.6)在一個未指明的應(yīng)用程序中包含Sudo漏洞。消息發(fā)布后,Apple發(fā)布了Sudo補(bǔ)丁(Sudo 版本 1.9.5p2)以緩解該問題。
HPE 提供針對Sudo的緩解措施
研究人員稱,在Aruba AirWave管理平臺的背景下,該漏洞可用于實施特權(quán)升級攻擊。“通過在應(yīng)用程序中觸發(fā)‘堆溢出’,就有可能將用戶的低權(quán)限訪問更改為root級別用戶的訪問。這可以通過在設(shè)備上植入惡意軟件或?qū)Φ蜋?quán)限Sudo賬戶實施暴力攻擊來實現(xiàn),”研究人員寫道。
Sudo錯誤是基于堆的緩沖區(qū)溢出,它允許任何本地用戶欺騙Sudo以“shell”模式運行。研究人員解釋說,當(dāng)Sudo在shell模式下運行時,“它用反斜杠轉(zhuǎn)義命令參數(shù)中的特殊字符。”然后,策略插件將在決定Sudo用戶的權(quán)限之前刪除所有轉(zhuǎn)義字符。”
HPE 表示,為了緩解這個問題,用戶應(yīng)該將AirWave管理平臺升級到8.2.13.0及更高版本。Sudo今年早些時候還發(fā)布了一個補(bǔ)丁。
HPE AirWave 客戶也可以使用技術(shù)解決方法:
HPE寫道:“為了將攻擊者利用這些漏洞的可能性降到最低,Aruba建議將AirWave的CLI和基于web的管理接口限制在專用的第2層段/VLAN和/或由第3層及以上的防火墻策略控制。”
網(wǎng)絡(luò)安全建設(shè)需從多面解決
作為“鏈?zhǔn)焦簟钡囊徊糠郑瑂udo漏洞為攻擊者打開了一個窗口。并且漏洞已存在近10年之久,這意味著存在此漏洞的系統(tǒng)不但數(shù)量龐大而且極易受到網(wǎng)絡(luò)攻擊。然而對于一些安全漏洞,在軟件開發(fā)時期即可通過靜態(tài)代碼檢測在第一時間發(fā)現(xiàn)。靜態(tài)代碼安全檢測不但可以查找、定位代碼缺陷問題,同時還能檢測出一些不需要運行即可發(fā)現(xiàn)的問題,如XXS,注入漏洞、緩沖區(qū)溢出等。
隨著網(wǎng)絡(luò)空間“戰(zhàn)爭”愈加頻繁,企業(yè)應(yīng)制定網(wǎng)絡(luò)安全管控機(jī)制,提高網(wǎng)絡(luò)安全意識,加強(qiáng)軟件安全建設(shè)。尤其在軟件開發(fā)期間或驗收使用時,應(yīng)首先確保代碼質(zhì)量安全以保障軟件安全。建議各企業(yè)在原基礎(chǔ)上更重視網(wǎng)絡(luò)安全問題,提高軟件等安全防護(hù)的同時,了解更多安全漏洞相關(guān)知識及安全檢測手段。
參讀鏈接:
www.woocoom.com/b021.html?i…
threatpost.com/hpe-sudo-bu…