Исследователи безопасности из компании Qualys выявили критическую уязвимость (CVE-2021-3156) в утилите sudo, предназначенной для организации выполнения команд от имени других пользователей. Уязвимость позволяет получить доступ с правами root без прохождения аутентификации и без наличия необходимых полномочий. Проблема может быть эксплуатирована любым пользователем, независимо от присутствия в системных группах и наличия записи в файле /etc/sudoers. Для атаки не требуется ввод пароля пользователя, т.е. уязвимость может применяться посторонним для повышения привилегий в системе после компрометации уязвимости в непривилегированном процессе (в том числе запускаемом под пользователем "nobody").
Исследователи продемонстрировали рабочие эксплоиты для получения полных привилегий root в Ubuntu 20.04, Debian 10 и Fedora 33. Не исключается возможность эксплуатации уязвимости и в других операционных системах и дистрибутивах, но проверка исследователями ограничилась Ubuntu, Debian и Fedora. Проблеме подвержены все версии sudo с 1.8.2 по 1.8.31p2 и с 1.9.0 по 1.9.5p1 в конфигурации по умолчанию. Исправление предложено в выпуске sudo 1.9.5p2.
Исследователи заранее уведомили разработчиков дистрибутивов, которые скоординировано уже выпустили обновления пакетов: Debian, RHEL, Fedora, Ubuntu, SUSE/openSUSE, Arch, Slackware, Gentoo, FreeBSD. Для проверки наличия уязвимости в своей системе достаточно запустить команду "sudoedit -s /". Уязвимость присутствует в случае вывода ошибки, начинающейся с "sudoedit:".
Уязвимость проявляется с июля 2011 года и вызвана переполнением буфера при обработке символов экранирования строки в параметрах, предназначенных для запуска команд в режиме shell. Режим shell включается при указании аргументов "-i" или "-s" и приводит к тому, что команда запускается не напрямую, а через дополнительный вызов командной оболочки с флагом "-c" ("sh -c команда"). Суть проблемы в том, что при штатном запуске утилита sudo экранирует специальные символы при указании опций "-i" и "-s", но при запуске утилиты sudoedit экранирования параметров не происходит, так как функция parse_args() выставляет переменную окружения MODE_EDIT вместо MODE_SHELL и не сбрасывает значение "valid_flags".
В свою очередь, передача неэкранированных символов создаёт условия для проявления ещё одной ошибки в обработчике, выполняющем удаление символов экранирования перед сверкой c правилами sudoers. Обработчик некорректно разбирает присутствие неэкранированного символа обратного слеша в конце строки, считает что данный обратный слеш экранирует ещё один символ и продолжает чтение данных, находящихся за границей строки, копируя их в буфер "user_args" и перезаписывая области памяти за границей данного буфера. Например, для вызова переполнения можно выполнить:
sudoedit -s '\' `perl -e 'print "A" x 65536'`
Манипулируя значениями в командной строке sudoedit можно добиться наложения перезаписываемого хвоста на данные, влияющие на дальнейший ход работы. Создание эксплоита упрощает то, что атакующий полностью контролирует размер буфера user_args, который соответствует размеру всех переданных аргументов, а также через переменные окружения контролирует размер и содержимое данных, записываемых за границу буфера. Исследователям удалось подготовить три эксплоита, работа которых строится на перезаписи содержимого структур sudo_hook_entry, service_user и def_timestampdir:
Исследователи продемонстрировали рабочие эксплоиты для получения полных привилегий root в Ubuntu 20.04, Debian 10 и Fedora 33. Не исключается возможность эксплуатации уязвимости и в других операционных системах и дистрибутивах, но проверка исследователями ограничилась Ubuntu, Debian и Fedora. Проблеме подвержены все версии sudo с 1.8.2 по 1.8.31p2 и с 1.9.0 по 1.9.5p1 в конфигурации по умолчанию. Исправление предложено в выпуске sudo 1.9.5p2.
Исследователи заранее уведомили разработчиков дистрибутивов, которые скоординировано уже выпустили обновления пакетов: Debian, RHEL, Fedora, Ubuntu, SUSE/openSUSE, Arch, Slackware, Gentoo, FreeBSD. Для проверки наличия уязвимости в своей системе достаточно запустить команду "sudoedit -s /". Уязвимость присутствует в случае вывода ошибки, начинающейся с "sudoedit:".
Уязвимость проявляется с июля 2011 года и вызвана переполнением буфера при обработке символов экранирования строки в параметрах, предназначенных для запуска команд в режиме shell. Режим shell включается при указании аргументов "-i" или "-s" и приводит к тому, что команда запускается не напрямую, а через дополнительный вызов командной оболочки с флагом "-c" ("sh -c команда"). Суть проблемы в том, что при штатном запуске утилита sudo экранирует специальные символы при указании опций "-i" и "-s", но при запуске утилиты sudoedit экранирования параметров не происходит, так как функция parse_args() выставляет переменную окружения MODE_EDIT вместо MODE_SHELL и не сбрасывает значение "valid_flags".
В свою очередь, передача неэкранированных символов создаёт условия для проявления ещё одной ошибки в обработчике, выполняющем удаление символов экранирования перед сверкой c правилами sudoers. Обработчик некорректно разбирает присутствие неэкранированного символа обратного слеша в конце строки, считает что данный обратный слеш экранирует ещё один символ и продолжает чтение данных, находящихся за границей строки, копируя их в буфер "user_args" и перезаписывая области памяти за границей данного буфера. Например, для вызова переполнения можно выполнить:
sudoedit -s '\' `perl -e 'print "A" x 65536'`
Манипулируя значениями в командной строке sudoedit можно добиться наложения перезаписываемого хвоста на данные, влияющие на дальнейший ход работы. Создание эксплоита упрощает то, что атакующий полностью контролирует размер буфера user_args, который соответствует размеру всех переданных аргументов, а также через переменные окружения контролирует размер и содержимое данных, записываемых за границу буфера. Исследователям удалось подготовить три эксплоита, работа которых строится на перезаписи содержимого структур sudo_hook_entry, service_user и def_timestampdir:
- При переопределении sudo_hook_entry удалось запустить бинарный файл с именем "SYSTEMD_BYPASS_USERDB" с правами root.
- При переопределении service_user удалось выполнить произвольный код с правами root.
- При переопределении def_timestampdir удалось добиться сброса содержимого стека sudo, включая переменные окружения, в файл /etc/passwd, и добиться подстановки пользователя с правами root.