+7 495 269-26-07
+7 495 419-15-03
+7 495 269-26-07 +7 495 419-15-03
Личный кабинет
Техническая поддержка:
+7 495 269-26-07
+7 495 419-15-03
  • Блог
  • Вышел фикс для уязвимости в Sudo

Вышел фикс для уязвимости в Sudo

09.02.2021

Наверное, нет более важной утилиты в Linux-системах, чем Sudo. Она позволяет каждому пользователю в системе выполнить действие с любыми привилегиями, в том числе root, при успешном прохождении аутентификации. Поэтому команда часто используется для целей администрирования, чтобы избежать постоянного использования в системе учетной записи root, и выполнения только определенных команд от ее имени. И, соответственно, любая компрометация утилиты Sudo может привести к фатальной эскалации привилегий в системе.

Эксперты компании Qualys обнаружили серьезный баг переполнения буфера в утилите Sudo, позволяющий получить root-доступ на уязвимом хосте и полный контроль над компьютером или сервером жертвы. 

Важная техническая информация: уязвимость имеет идентификатор CVE-2021-3156. В Sudo до версии 1.9.5p2 уязвимость переполнения буфера позволяет повысить привилегии до root с помощью «sudoedit -s» и аргумента командной строки, заканчивающегося одним символом обратной косой черты. Уязвимости подвержены все семейства Linux-систем, включая Red Hat, Ubuntu, Debian, Fedora. 

Значимым аспектом в данном случае является то, что большинство серверных систем, включая средства защиты информации, используют Linux-платформы. Поэтому важно произвести необходимые сейчас обновления систем, особенно видимых из внешней сети Интернет.

Обновления доступны на сайтах:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3156

https://www.kb.cert.org/vuls/id/794544

Так как данная уязвимость для выполнения требует присутствия злоумышленника в системе хотя бы с минимальными правами, то важно своевременно расследовать инциденты ИБ и не упускать из внимания подозрительные действия в инфраструктуре, чтобы не пропустить возможную хакерскую активность, подозрения на присутствие бэкдоров, ботнет-агентов и т.д. «С течением времени информационная инфраструктура организаций становится все более сложной, что обуславливается повышением требований бизнеса к автоматизации и функционалу предоставляемых сервисов и услуг, и вместе с этим и к защите своих информационных активов. Увеличивающаяся сложность информационной инфраструктуры делает подход к контролю потенциально опасных событий, происходящих в информационных системах, чрезмерно трудозатратным, и со временем его эффективность зачастую снижается, в результате чего обеспечение адекватной и своевременной реакции становится невозможным. Для решения подобных вопросов мы предлагаем услугу по управлению инцидентами информационной безопасности на базе Центра киберустойчивости Angara Cyber Resilience Center (ACRC). Используемая ACRC методика агентского контроля и сбора событий на endpoints, включая endpoints под управлением ОС GNU\Linux, позволит кратно увеличить шансы заблаговременного детектирования присутствия злоумышленников в информационной инфраструктуре», – комментирует Тимур Зиннятуллин, директор Центра киберустойчивости ACRC.