Уязвимост в sudo, която позволява ескалация на привилегии при използване на специфични правила

В помощната програма Sudo, използвани за организиране на изпълнението на команди от името на други потребители, идентифицирани уязвимост (CVE-2019 14287-), което ви позволява да изпълнявате команди с root права, ако има правила в настройките на sudoers, в които в секцията за проверка на потребителския идентификатор след разрешаващата ключова дума „ALL“ има изрична забрана за изпълнение с root права („... (ВСИЧКИ, !root) ..." ). Уязвимостта не се появява в конфигурациите по подразбиране в дистрибуциите.

Ако sudoers има валидни, но изключително редки на практика правила, които позволяват изпълнението на определена команда под UID на всеки потребител, различен от root, атакуващ, който има право да изпълни тази команда, може да заобиколи установеното ограничение и да изпълни командата с root права. За да заобиколите ограничението, просто опитайте да изпълните командата, посочена в настройките с UID „-1“ или „4294967295“, което ще доведе до нейното изпълнение с UID 0.

Например, ако има правило в настройките, което дава на всеки потребител правото да изпълни програмата /usr/bin/id под произволен UID:

myhost ALL = (ALL, !root) /usr/bin/id

или опция, която позволява изпълнение само за конкретен потребител bob:

myhost bob = (ВСИЧКИ, !root) /usr/bin/id

Потребителят може да изпълни „sudo -u '#-1' id” и помощната програма /usr/bin/id ще бъде стартирана като root, въпреки изричната забрана в настройките. Проблемът е причинен от пренебрегване на специалните стойности „-1“ или „4294967295“, които не водят до промяна в UID, но тъй като самият sudo вече се изпълнява като root, без промяна на UID, целевата команда също е стартира с root права.

В SUSE и openSUSE дистрибуции, без да се посочва „NOPASSWD“ в правилото, има уязвимост не може да се използва, тъй като в sudoers режимът „Defaults targetpw“ е активиран по подразбиране, който проверява UID спрямо базата данни с пароли и ви подканва да въведете паролата на целевия потребител. За такива системи атака може да бъде извършена само ако има правила от формата:

myhost ALL = (ALL, !root) NOPASSWD: /usr/bin/id

Проблемът е коригиран в изданието Sudo 1.8.28. Корекцията е налична и във формуляра пластир. В комплектите за разпространение уязвимостта вече е коригирана Debian, Arch Linux, SUSE/openSUSE, Ubuntu, Gentoo и FreeBSD. Към момента на писане проблемът остава неотстранен в RHEL и Fedora. Уязвимостта е идентифицирана от изследователи по сигурността от Apple.

Източник: opennet.ru