HPE與Apple一起警告用戶存在嚴(yán)重的Sudo漏洞。

惠普公司(Hewlett Packard Enterprise)警告說(shuō)，其Aruba AirWave管理平臺(tái)上使用的開(kāi)源程序Sudo存在一個(gè)漏洞，該漏洞可能允許任何沒(méi)有特權(quán)和身份驗(yàn)證的本地用戶獲得受攻擊主機(jī)的Root權(quán)限。

根據(jù)HPE最近的安全公告，比較嚴(yán)重的Sudo漏洞可能是“鏈?zhǔn)焦簟钡囊徊糠?，即“攻擊者通過(guò)另一個(gè)漏洞獲得了較低權(quán)限的立足點(diǎn)，然后利用此漏洞升級(jí)權(quán)限”。

Aruba AirWave管理平臺(tái)是HPE針對(duì)有線和無(wú)線基礎(chǔ)設(shè)施的實(shí)時(shí)監(jiān)控和安全警報(bào)系統(tǒng)。今年1月，Qualys的研究人員報(bào)告了Sudo漏洞(CVE-2021-3156)，據(jù)消息影響數(shù)百萬(wàn)終端設(shè)備和系統(tǒng)。

Sudo是其他平臺(tái)使用的一個(gè)程序，根據(jù)Sudo許可證，它“允許系統(tǒng)管理員授權(quán)給特定用戶(或用戶組)以root用戶或其他用戶的身份運(yùn)行某些(或所有)命令”。

Sudo漏洞或隱藏近10年

在發(fā)現(xiàn)Sudo漏洞時(shí)，Qualys的產(chǎn)品管理和工程副總裁Mehul Revankar在一份研究報(bào)告中將Sudo缺陷描述為：可能是最近記憶中最重要的Sudo漏洞(無(wú)論是在范圍還是影響方面)，并且已經(jīng)隱藏了近10年。

就HPE而言，該公司上周公開(kāi)披露了該漏洞，并表示它影響了8.2.13.0版(于2021年6月18日發(fā)布)之前的AirWave管理平臺(tái)。

安全公告稱:“Sudo命令行參數(shù)解析代碼中的一個(gè)漏洞可能允許訪問(wèn)Sudo的攻擊者以root權(quán)限執(zhí)行命令或二進(jìn)制文件?！?/p>

Qualys研究人員將Sudo漏洞命名為“Baron Samedit”，并表示該漏洞于2011年7月被引入到Sudo代碼中。該漏洞最初被認(rèn)為僅影響Linux和BSD操作系統(tǒng)，包括從Ubuntu 20.04 (Sudo 1.8. 31)、Debian 10 (Sudo 1.8.27) 和 Fedora 33 (Sudo 1.9.2)。從那以后，更多的供應(yīng)商提出了安全警告。

HPE可能是最新一個(gè)在其代碼中報(bào)告Sudo依賴項(xiàng)的公司，但它可能不會(huì)是最后一個(gè)。

在2月份，Apple安全公告警告說(shuō) macOS(macOS Big Sur 11.2、macOS Catalina 10.15.7、macOS Mojave 10.14.6)在一個(gè)未指明的應(yīng)用程序中包含Sudo漏洞。消息發(fā)布后，Apple發(fā)布了Sudo補(bǔ)丁(Sudo 版本 1.9.5p2)以緩解該問(wèn)題。

HPE 提供針對(duì)Sudo的緩解措施

研究人員稱，在Aruba AirWave管理平臺(tái)的背景下，該漏洞可用于實(shí)施特權(quán)升級(jí)攻擊?！巴ㄟ^(guò)在應(yīng)用程序中觸發(fā)‘堆溢出’，就有可能將用戶的低權(quán)限訪問(wèn)更改為root級(jí)別用戶的訪問(wèn)。這可以通過(guò)在設(shè)備上植入惡意軟件或?qū)Φ蜋?quán)限Sudo賬戶實(shí)施暴力攻擊來(lái)實(shí)現(xiàn)，”研究人員寫道。

Sudo錯(cuò)誤是基于堆的緩沖區(qū)溢出，它允許任何本地用戶欺騙Sudo以“shell”模式運(yùn)行。研究人員解釋說(shuō)，當(dāng)Sudo在shell模式下運(yùn)行時(shí)，“它用反斜杠轉(zhuǎn)義命令參數(shù)中的特殊字符。”然后，策略插件將在決定Sudo用戶的權(quán)限之前刪除所有轉(zhuǎn)義字符?！?/p>

HPE 表示，為了緩解這個(gè)問(wèn)題，用戶應(yīng)該將AirWave管理平臺(tái)升級(jí)到8.2.13.0及更高版本。Sudo今年早些時(shí)候還發(fā)布了一個(gè)補(bǔ)丁。

HPE AirWave 客戶也可以使用技術(shù)解決方法：

HPE寫道:“為了將攻擊者利用這些漏洞的可能性降到最低，Aruba建議將AirWave的CLI和基于web的管理接口限制在專用的第2層段/VLAN和/或由第3層及以上的防火墻策略控制?！?/p>

網(wǎng)絡(luò)安全建設(shè)需從多面解決

作為“鏈?zhǔn)焦簟钡囊徊糠?，sudo漏洞為攻擊者打開(kāi)了一個(gè)窗口。并且漏洞已存在近10年之久，這意味著存在此漏洞的系統(tǒng)不但數(shù)量龐大而且極易受到網(wǎng)絡(luò)攻擊。然而對(duì)于一些安全漏洞，在軟件開(kāi)發(fā)時(shí)期即可通過(guò)靜態(tài)代碼檢測(cè)在第一時(shí)間發(fā)現(xiàn)。靜態(tài)代碼安全檢測(cè)不但可以查找、定位代碼缺陷問(wèn)題，同時(shí)還能檢測(cè)出一些不需要運(yùn)行即可發(fā)現(xiàn)的問(wèn)題，如XXS,注入漏洞、緩沖區(qū)溢出等。

隨著網(wǎng)絡(luò)空間“戰(zhàn)爭(zhēng)”愈加頻繁，企業(yè)應(yīng)制定網(wǎng)絡(luò)安全管控機(jī)制，提高網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)軟件安全建設(shè)。尤其在軟件開(kāi)發(fā)期間或驗(yàn)收使用時(shí)，應(yīng)首先確保代碼質(zhì)量安全以保障軟件安全。建議各企業(yè)在原基礎(chǔ)上更重視網(wǎng)絡(luò)安全問(wèn)題，提高軟件等安全防護(hù)的同時(shí)，了解更多安全漏洞相關(guān)知識(shí)及安全檢測(cè)手段。

參讀鏈接：

www.woocoom.com/b021.html?i…

threatpost.com/hpe-sudo-bu…