Vulnerabilità nel comando SUDO in Linux consente escalation di privilegi

05/02/2020

cve-2019-18634 Linux Vulnerabilità

 

Un ricercatore Apple ha scoperto una vulnerabilità nella utility sudo, utilizzata dai sistemi Linux e MacOs, per lanciare comandi con privilegi elevati (root) nei sistemi impattati.

La vulnerabilità appena scoperta, associata alla CVE-2019-18634, consente l’escalation di privilegi. Essa deriva da un problema di buffer overflow basato su stack che risiede nelle versioni Sudo precedenti alla 1.8.26.

Funzionamento della vulnerabilità

La falla può essere sfruttata quando l’opzione “pwfeedback” è abilitata nel file di configurazione sudoers. Tale funzione fornisce un feedback visivo, che consiste in un asterisco (*), quando un utente immette la password nel terminale. Normalmente l’inserimento della password in sudo non genera nessun tipo di feedback

Di norma la funzione pwfeedback non è abilitata di default, ma alcune distribuzioni Linux, come Linux Mint, lo abilitano nei loro file predefiniti sudoers.

L’exploit della vulnerabilità, quando pwfeedback è abilitato, può essere innescato da qualsiasi utente, anche senza le autorizzazioni sudo.

In caso di buffer overflow un utente malintenzionato potrebbe passare una serie di comandi a sudo e quindi sfruttare la suddetta vulnerabilità. È sufficiente infatti passare con una pipe un grosso input, come è stato confermato anche da uno degli sviluppatori di sudo.

Per determinare se la configurazione dei sudoers è interessata, è possibile eseguire il comando “sudo -l” sul proprio terminale Linux o macOS verificando se l’opzione “pwfeedback” è abilitata ed elencata nell’output “Matching Defaults entries“.

Se abilitato, è possibile disabilitare il componente vulnerabile modificando la dicitura “Defaults pwfeedback” in “Defaults !pwfeedback” nel file di configurazione sudoers per impedire lo sfruttamento della vulnerabilità.

Conclusioni

Il CERT-PA consiglia di aggiornare le proprie distribuzioni Linux e/o MacOs poiché è stata rilasciata la versione 1.8.31 di sudo contenente una patch alla vulnerabilità sopra elencata.

Anche Apple ha rilasciato un aggiornamento per macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2.