A Vulnerabilidade do app SUDO no Linux

Hoje, ambos os sistemas operacionais estão presentes em todo o mundo, apesar de vários tipos de dispositivos: desde sistemas embarcados de automóveis e telefones móveis até dispositivos de rede e servidores web. Adicionalmente, os sistemas operacionais baseados em Linux, procurados por desenvolvedores de aplicações em TI. Muitas tecnologias associadas ao universo DevOps, como contêineres e ambientes em nuvem, são construídas tendo o Linux como base.

No entanto, juntamente com o crescimento de sua utilização, as ameaças associadas aos sistemas operacionais baseados em Unix e Linux também são maiores. Segundo a IBM, em seu relatório X-Force Threat Intelligence Index, apenas em 2020 os hackers criaram 56 categorias de vírus para Linux, um aumento de 40% em relação a 2019. Os atacantes maliciosos também aproveitam o crescimento da utilização do Linux/Unix para descobrir e explorar vulnerabilidades nesses sistemas.

Uma das ferramentas mais poderosas e fundamentais para usuários do Linux e Unix é o Sudo, ou SuperUser DO, e é encontrada em todas as distribuições desses sistemas operacionais. E quando uma vulnerabilidade é encontrada no Sudo, com certeza o problema é bem crítico. Isso porque o Sudo é um comando utilizado para acessar arquivos e operações privilegiadas nos sistemas operacionais baseados em Unix. Por padrão, esses sistemas operacionais restringem o acesso a determinadas partes do sistema, permitindo que arquivos sensíveis sejam comprometidos pelos usuários. Assim, o comando Sudo eleva temporariamente os privilégios do usuário, permitindo a execução de tarefas administrativas sem necessidade de o usuário autenticar como administrador ou root. 

No início de 2021, a Qualys descobriu e tornou pública a descoberta de mais uma vulnerabilidade crítica associada ao Sudo do Linux. A vulnerabilidade de estouro de pilha (heap overflow) CVE-2021-3156, também conhecida como Baron Samedit, foi remediada na atualização da versão 1.9.5p2 do Sudo, lançada no final de janeiro. A CVE-2021-3156, que estaria presente no sistema operacional há pelo menos 10 anos, permite que um atacante malicioso com um usuário comum, e de baixo privilégio, ganhe acesso privilegiado, mesmo que a sua conta não esteja listada no /etc/Sudoers – um arquivo de configuração que controla quais usuários possuem acesso ao comando Sudo. 

Para se ter uma ideia, nos últimos dois anos, duas outras vulnerabilidades no comando Sudo foram encontradas, mas nenhuma tão grave e perigosa quanto a descoberta pelo time de segurança da Qualys, considerando o escopo e impacto da vulnerabilidade recém descoberta. Isso se deve principalmente ao fato desta vulnerabilidade ser encontrada em diversos sistemas operacionais e distribuições baseadas em Linux, como o Ubuntu 20.04, o Debian 10 e o Fedora 33. 

Uma das formas de mitigar os riscos associados à exploração desta vulnerabilidade é a atualização do Sudo em seus servidores Linux para a versão 1.9.5p2. Além disso, caso os binários Sudo e Sudoedit não estejam em utilização, sugerimos que sejam excluídos dos servidores. A recomendação é que utilize o senhasegura.go for Linux para o controle da elevação de privilégios nos dispositivos, com isso,  torna-se possível elevar temporariamente os privilégios de usuário para a execução de comandos e aplicações, permitindo o controle dos privilégios administrativos das credenciais gerenciadas pela solução. 

Por meio  de um agente local instalado nas estações de trabalho, o senhasegura.go permite iniciar aplicações e executar comandos injetando as credenciais automaticamente. Outras funcionalidades oferecidas pelo senhasegura.go incluem:

• A possibilidade de  utilizar listas de ações autorizadas, bloqueadas e notificadas para execução.
• Além de atuar sobre o Sudo, o senhasegura.go também oferece uma camada adicional de segurança sobre ferramentas como ACS, PAM e SELinux, sem a necessidade de atualizar o Kernel, atuando como LSM (Linux Security Machines).
• Registro em logs de todas as ações realizadas através de credenciais privilegiadas, trazendo máxima visibilidade das ações dos usuários, reduzindo o esforço de auditorias de atividades privilegiadas.
• Integração completa com a plataforma de segurança senhasegura PAM.

Para saber mais sobre como a solução senhasegura.go for Linux pode auxiliar sua organização a mitigar os riscos associados à elevação de privilégios em servidores, solicite agora uma demonstração.