Af Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 26. januar 2021 afslørede Qualys Research Labs en sårbarhed i  ‘heap-based buffer overflow’ (CVE-2021-3156) i Sudo, hvilket ved vellykket udnyttelse giver enhver lokal bruger mulighed for at eskalere rettigheder. Både sudoere og ikke-sudoere kan udnytte sårbarheden uden godkendelse for at opnå rodrettigheder.

Sårbarheden skyldes forkert parsing af kommandolinjeparametre, og en angriber kan udnytte den via “sudoedeit-s” og et kommandolinjeargument, der slutter med et enkelt backslash-tegn. Fejlen blev introduceret i juli 2011 og påvirker alle ældre versioner fra 1.8.2 til 1.8.31p2 og alle stabile versioner fra 1.9.0 til 1.9.5p1 i deres standardkonfiguration.

Qualys Research-teamet kunne uafhængigt verificere sårbarheden og udvikle flere varianter til Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) og Fedora 33 (Sudo 1.9.2). Andre distributioner kan dog også være sårbare, fordi Sudo fås i næsten alle større Unix/Linux OS.

Selvom sårbarheden blev afhjulpet på blot 13 dage, er der mange, der endnu ikke har foretaget programrettelse, hvilket gør en lang række systemer sårbare. For at gøre tingene værre er der nu flere PoC’er i Github, som åbner dørene for nem udnyttelse af usofistikerede trusselaktører.

Sårbarheden forbundet med Sudo rettighedseksalering påvirkede også LogPoint-produkterne, og den 29. januar 2021 udgav vi LogPoint v6.9.2 for at afhjælpe sårbarheden. Vi anbefaler, at alle LogPoint-brugere opgraderer til den nyeste produktversion.

Detektion af et udnyttelsesforsøg i LogPoint

Du kan nemt opdage udnyttelsesforsøget på Sudo-fejlen via auditerede logfiler. Ligesom tilfældet med Sysmon kræver audits passende regler for at generere artefakter af interesse. Florian Roths auditerede konfiguration er tilstrækkelig til dette formål.

Da brute-forcing er påkrævet for at udløse sårbarheden, vil auditerede logfiler blive oversvømmet med hændelser relateret til sudoedit.

Du kan oprette detektioner ved hjælp af en af de tre hændelsestyper, der genereres af auditit – SYSCALL, EXECV og ANOM_ABEND.

CVE-2021-3156 Sudo Privilege Escalation

For detektion baseret på EXECVE skal vi blot lede efter en stor tilstrømning af EXECVE-logfiler til sudoedit med “\” og “-s” som kommandolinjeparametre.

norm_id=Unix "process"=Audit event_type=EXECVE
argument_0="/usr/bin/sudoedit"
(argument_1="\" OR argument_2="\" OR argument_3="\" OR argument_4="\" OR argument_5="\")
(argument_1="-s" OR argument_2="-s" OR argument_3="-s" OR argument_4="-s" OR argument_5="-s")
| chart count() as cnt by host
| search cnt > 50

Detektion baseret på SYSCALL er også enkel, fordi vi blot skal lede efter en stor tilstrømning af SYSCALL-logfiler til sudoedit kommando.

norm_id=Unix "process"=Audit
event_type=SYSCALL command=sudoedit path="/usr/bin/sudo"
| chart count() as cnt by host
| search cnt > 50

Nogle gange, hvis udnyttelsen mislykkes, genereres der unormale procesafslutningslogfiler, som også kan indikere et udnyttelsesforsøg.norm_id=Unix "process"=Audit
label=Abnormal label="Process" label=Terminate
command="sudoedit" path="/usr/bin/sudo"
| chart count() as cnt by host
| search cnt > 50

Endelig kan vi søge efter eventuelle påkaldelser af sudoedit med en unormalt lang kommandolinje, som kan indikere et forsøg på at udløse ‘heap-based buffer overflow’ sårbarhed. Administratorer kan justere længden af tærskelkommandolinjen for at reducere eventuelle falske positive resultater.

norm_id=Unix "process"=Audit event_type=EXECVE
argument_0="/usr/bin/sudoedit"
| process eval("a1_len=len(argument_1)")
| process eval("a2_len=len(argument_2)")
| process eval("a3_len=len(argument_3)")
| process eval("a4_len=len(argument_4)")
| chart count() by host, a1_len, a2_len, a3_len, a4_len
| search (a1_len>100 OR a2_len > 100 OR a3_len>100 OR a4_len>100)

Patch dine systemer

Da angribere kan udnytte denne fejl selv i standardkonfigurationen, anbefales systemadministratorer at patche deres systemer så hurtigt som muligt. Hvis patcning ikke er mulig, eller patchen ikke er frigivet til den benyttede Linux/Unix-distribution, anbefaler vi, at I udruller detektioner, der overvåger eventuelle udnyttelsesforsøg.

Trusselsaktører kan bruge sudo-sårbarheden sammen med andre angrebsmetoder til at kompromittere systemet fuldstændigt. Vi råder organisationer til at iværksætte hændelsesrespons, hvis der opdages et udnyttelsesforsøg.

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser