Los desarrolladores han parcheado una vulnerabilidad en Sudo, una utilidad de comando central para Linux, que podría permitir que un usuario ejecute comandos como usuario raíz, incluso si ese acceso a la raíz no se permitiera específicamente.
El parche previene posibles consecuencias graves dentro de los sistemas Linux. Sin embargo, la vulnerabilidad de Sudo representaba una amenaza solo para un segmento estrecho de la base de usuarios de Linux, según Todd Miller, desarrollador de software e ingeniero senior de
Software de búsqueda y un mantenedor del código abierto
Sudo proyecto.
"La mayoría de las configuraciones de Sudo no se ven afectadas por el error. Es poco probable que los usuarios domésticos no empresariales se vean afectados en absoluto", dijo a LinuxInsider.
Aún así, la vulnerabilidad se considera grave. Es por eso que Red Hat lo calificó casi 8/10 en términos de riesgo, dijo Jason David, CEO de
Portal de software.
"La única solución en este punto es instalar el parche en Sudo 1.8.28. Mientras tanto, puede eliminar temporalmente a todos los usuarios del archivo sudoers (usuarios) y reemplazarlos después de que el parche se haya instalado", dijo a LinuxInsider.
Los desarrolladores lanzaron el parche Sudo hace varios días. Sin embargo, debe empaquetarse para cada distribución de Linux y distribuirse a través de los cientos de comunidades de Linux que mantienen sistemas operativos Linux individuales.
Que hace
El error de Sudo se designa CVE-2019-14287 en la base de datos de vulnerabilidades y exposiciones comunes. Joe Vennix de Apple Information Security encontró y analizó el error.
Una vez que se instala el parche, el error de Sudo afectará solo a las versiones de Sudo anteriores a 1.8.28. Red Hat calificó la falla con un puntaje de severidad de 7.8 sobre 10 en la escala CvSS.
Sudo significa "superusuario do". Los comandos de Sudo se ingresan en una aplicación de línea de comando de terminal para llevar a cabo la gestión de software de rutina y otras configuraciones y actividades del sistema Linux.
Sudo es un comando del sistema que permite a un usuario ejecutar aplicaciones o comandos con los privilegios de un usuario diferente, como el administrador del sistema, sin cambiar de entorno. Muy a menudo, Sudo se usa para ejecutar comandos como usuario root.
El error permite a los usuarios eludir las restricciones de privilegios para ejecutar comandos como root. Básicamente, permite a los atacantes eludir las opciones de seguridad incorporadas para bloquear el acceso de root para usuarios específicos.
Cómo funciona
Los atacantes pueden usar el exploit Sudo simplemente especificando la ID de usuario de la persona que ejecuta los comandos como "-1" o "4294967295". El error permite que estas dos ID de usuario se resuelvan automáticamente al valor "0": la ID de usuario para el acceso raíz.
Sudo no requiere una contraseña para ejecutar comandos en el contexto de otro usuario. El nivel de dificultad de explotación es bajo, según Red Hat.
Las distribuciones de Linux que contienen la palabra clave "ALL" en la especificación RunAs en el archivo de configuración / etc / sudoers se ven afectadas. La palabra clave ALL permite a todos los usuarios de un grupo específico ejecutar cualquier comand o como cualquier usuario válido en el sistema, y generalmente está presente en las configuraciones predeterminadas de Linux, según Red Hat.
Ese escenario de error podría haber afectado un gran segmento de usuarios, según algunos ingenieros de software, pero otros argumentaron que el problema no habría afectado a la mayoría de los usuarios de Linux.
Empujando el privilegio
La separación de privilegios es uno de los paradigmas de seguridad fundamentales en Linux. En una configuración empresarial, los administradores pueden configurar un archivo sudoers para definir qué usuarios pueden ejecutar qué comandos.
En un escenario específico en el que un usuario puede ejecutar un comando como cualquier otro usuario, excepto la raíz, la vulnerabilidad podría permitir que el usuario omita la política de seguridad y tome el control completo sobre el sistema como raíz.
De lo contrario, el usuario tendría que conocer la contraseña para el acceso raíz para ejecutar un comando sudo. La adición de los parámetros -u # -1 o -u # 4294967295 al comando sudo es todo lo que se necesitaría para obtener los privilegios adicionales de root, explicó Miller en un
enviar en el sitio web de Sudo.
Siempre es una buena práctica mantenerse actualizado con los parches y paquetes de su distribución. Sin embargo, a menos que tenga un archivo sudoers que use el idioma descrito anteriormente, no hay necesidad de apresurarse para actualizar su paquete Sudo, señaló Miller.
"No conozco a ningún proveedor que envíe un archivo de sudoers de stock que se vea afectado", dijo.
Configuración única requerida
La configuración del sistema operativo Linux es el factor crítico que determina si la vulnerabilidad de Sudo puede funcionar. El error de Sudo afecta solo a las computadoras Linux que se han configurado de una manera no estándar, enfatizó Douglas Crawford, experto en tecnología de
ProPrivacy.
"No afecta a la mayoría de los sistemas Linux, y ningún sistema Linux es vulnerable por defecto", dijo a LinuxInsider.
La vulnerabilidad afecta solo a los sistemas que se han configurado para permitir que otros usuarios autorizados ejecuten un conjunto limitado de comandos sudo. Al explotar el error, estos sudoers de acceso restringido pueden ejecutar comandos como si tuvieran privilegios completos de sudo (administrador), explicó Crawford.
"No solo es una configuración muy inusual, sino que no se recomienda, incluso sin tener en cuenta el error. También es preocupante si por alguna razón no confía en sus sudoers de acceso restringido para no explotar la situación ", agregó. "Y si no confías en tus sudoers, ¿por qué les diste privilegios de administrador en primer lugar?"
Impacto limitado en el peor
La corteza parece peor que la mordida con esta vulnerabilidad particular de Linux. En realidad no es una vulnerabilidad muy crítica, sugirió Chris Morales, jefe de análisis de seguridad de
Vectra.
"La configuración del sistema de permitir que un usuario ejecute un comando como cualquier usuario, excepto para mí, no me parece normal. Esto afectaría a un sistema muy específico con una necesidad específica para ese tipo de configuración", dijo a LinuxInsider.
En un entorno empresarial, los administradores del sistema, y para el caso, otros usuarios, pueden realizar una verificación rápida para verificar si sus computadoras están en riesgo de sufrir el error de Sudo, dijo Mehul Revankar, gerente senior de productos de
SaltStack.
Verifique la configuración de sudoers para entradas vulnerables ejecutando este comando en una terminal:
# grep -r '! s * root >' / etc / sudoers /etc/sudoers.d/ | grep -v '^ s * #'
Si este comando no produce salida, entonces el sistema no es vulnerable, de lo contrario, la configuración debe revisarse, dijo Revankar a LinuxInsider. Las entradas de configuración vulnerables serán similares a las siguientes:
alice myhost = (TODOS,! root) / usr / bin / vi
Si está presente, se deben deshabilitar o cambiar para enumerar los nombres de usuario objetivo permitidos explícitamente y evitar el "!" sintaxis.
Jack M. Germain ha sido reportero de ECT News Network desde 2003. Sus principales áreas de enfoque son las tecnologías empresariales de TI, Linux y de código abierto. Ha escrito numerosas reseñas de distribuciones de Linux y otro software de código abierto.
Correo electrónico Jack.