Una vulnerabilità critica in Sudo consente di ottenere l’accesso come root in quasi tutte le distribuzioni Linux. Il team di ricerca sulla sicurezza di Qualys ha scoperto una vulnerabilità critica in Sudo che risale a quasi 10 anni fa. Il bug denominato “Baron Samedi” può essere sfruttato da qualsiasi utente locale e colpisce buona parte dell’ecosistema di distribuzione Linux.
Il bug in questione può essere sfruttato per ottenere i privilegi di root, anche se l’utente non è elencato nel file sudoers, cioè il file che controlla chi, quale, con quali privilegi e su quali macchine può eseguire comandi, e se sono richieste password.
Una vulnerabilità critica in Sudo consente di ottenere l’accesso root in quasi tutte le distribuzioni Linux
Sudo è uno strumento che consente a un amministratore di sistema di delegare l’autorità per concedere a determinati utenti (o gruppi di utenti) la capacità di eseguire alcuni (o tutti) i comandi come root o un altro tipo di utente fornendo al contempo una traccia di controllo dei comandi e dei loro argomenti.
Sudo, inoltre, è disponibile praticamente su tutti i sistemi operativi in stile Unix, e questa vulnerabilità è stata introdotta nel luglio 2011, quasi 10 anni fa. Baron Samedi interessa tutte le versioni legacy dalla 1.8.2 alla 1.8.31p2 e tutte le versioni stabili di Sudo dalla 1.9.0 alla 1.9.5p1 nella loro configurazione predefinita.
I ricercatori sono stati in grado di testare la vulnerabilità e sviluppare più varianti per sfruttarla in Ubuntu 20.04, Debian 10, Fedora 33 e Gentoo, ma indicano che altri sistemi operativi e distribuzioni potrebbero essere interessati.
Questa vulnerabilità può essere sfruttata nel mondo reale. Ad esempio, se gli operatori di botnet eseguono attacchi di forza bruta su account di basso livello, possono sfruttare il bug in una seconda parte dell’attacco per aiutare gli intrusi a ottenere facilmente l’accesso root e ad assumere il pieno controllo di un server compromesso. E, come discusso su ZDNet, gli attacchi botnet che prendono di mira i sistemi Linux utilizzando la forza bruta sono abbastanza comuni in questi giorni.
Il bug è stato corretto dal team di Sudo, che ha ringraziato Qualys per il report dettagliato, la raccomandazione è di aggiornare i sistemi interessati il prima possibile. La versione di Sudo 1.9.5p2 dovrebbe essere installata o corretta da ogni fornitore.