HPE与Apple一起警告用户存在严重的Sudo漏洞。
惠普公司(Hewlett Packard Enterprise)警告说,其Aruba AirWave管理平台上使用的开源程序Sudo存在一个漏洞,该漏洞可能允许任何没有特权和身份验证的本地用户获得受攻击主机的Root权限。
根据HPE最近的安全公告,比较严重的Sudo漏洞可能是“链式攻击”的一部分,即“攻击者通过另一个漏洞获得了较低权限的立足点,然后利用此漏洞升级权限”。
Aruba AirWave管理平台是HPE针对有线和无线基础设施的实时监控和安全警报系统。今年1月,Qualys的研究人员报告了Sudo漏洞(CVE-2021-3156),据消息影响数百万终端设备和系统。
Sudo是其他平台使用的一个程序,根据Sudo许可证,它“允许系统管理员授权给特定用户(或用户组)以root用户或其他用户的身份运行某些(或所有)命令”。
Sudo漏洞或隐藏近10年
在发现Sudo漏洞时,Qualys的产品管理和工程副总裁Mehul Revankar在一份研究报告中将Sudo缺陷描述为:可能是最近记忆中最重要的Sudo漏洞(无论是在范围还是影响方面),并且已经隐藏了近10年。
就HPE而言,该公司上周公开披露了该漏洞,并表示它影响了8.2.13.0版(于2021年6月18日发布)之前的AirWave管理平台。
安全公告称:“Sudo命令行参数解析代码中的一个漏洞可能允许访问Sudo的攻击者以root权限执行命令或二进制文件。”
Qualys研究人员将Sudo漏洞命名为“Baron Samedit”,并表示该漏洞于2011年7月被引入到Sudo代码中。该漏洞最初被认为仅影响Linux和BSD操作系统,包括从Ubuntu 20.04 (Sudo 1.8. 31)、Debian 10 (Sudo 1.8.27) 和 Fedora 33 (Sudo 1.9.2)。从那以后,更多的供应商提出了安全警告。
HPE可能是最新一个在其代码中报告Sudo依赖项的公司,但它可能不会是最后一个。
在2月份,Apple安全公告警告说 macOS(macOS Big Sur 11.2、macOS Catalina 10.15.7、macOS Mojave 10.14.6)在一个未指明的应用程序中包含Sudo漏洞。消息发布后,Apple发布了Sudo补丁(Sudo 版本 1.9.5p2)以缓解该问题。
HPE 提供针对Sudo的缓解措施
研究人员称,在Aruba AirWave管理平台的背景下,该漏洞可用于实施特权升级攻击。“通过在应用程序中触发‘堆溢出’,就有可能将用户的低权限访问更改为root级别用户的访问。这可以通过在设备上植入恶意软件或对低权限Sudo账户实施暴力攻击来实现,”研究人员写道。
Sudo错误是基于堆的缓冲区溢出,它允许任何本地用户欺骗Sudo以“shell”模式运行。研究人员解释说,当Sudo在shell模式下运行时,“它用反斜杠转义命令参数中的特殊字符。”然后,策略插件将在决定Sudo用户的权限之前删除所有转义字符。”
HPE 表示,为了缓解这个问题,用户应该将AirWave管理平台升级到8.2.13.0及更高版本。Sudo今年早些时候还发布了一个补丁。
HPE AirWave 客户也可以使用技术解决方法:
HPE写道:“为了将攻击者利用这些漏洞的可能性降到最低,Aruba建议将AirWave的CLI和基于web的管理接口限制在专用的第2层段/VLAN和/或由第3层及以上的防火墙策略控制。”
网络安全建设需从多面解决
作为“链式攻击”的一部分,sudo漏洞为攻击者打开了一个窗口。并且漏洞已存在近10年之久,这意味着存在此漏洞的系统不但数量庞大而且极易受到网络攻击。然而对于一些安全漏洞,在软件开发时期即可通过静态代码检测在第一时间发现。静态代码安全检测不但可以查找、定位代码缺陷问题,同时还能检测出一些不需要运行即可发现的问题,如XXS,注入漏洞、缓冲区溢出等。
随着网络空间“战争”愈加频繁,企业应制定网络安全管控机制,提高网络安全意识,加强软件安全建设。尤其在软件开发期间或验收使用时,应首先确保代码质量安全以保障软件安全。建议各企业在原基础上更重视网络安全问题,提高软件等安全防护的同时,了解更多安全漏洞相关知识及安全检测手段。
参读链接:
www.woocoom.com/b021.html?i…
threatpost.com/hpe-sudo-bu…