Une vulnérabilité (CVE-2021-3156) dans sudo, un utilitaire open source puissant et quasi omniprésent utilisé sur les principaux systèmes d’exploitation Linux et Unix, pourrait permettre à tout utilisateur local non privilégié d’obtenir des privilèges root sur un hôte vulnérable (sans authentification ).

«Cette vulnérabilité est peut-être la vulnérabilité sudo la plus importante de mémoire récente (à la fois en termes de portée et d’impact) et se cache à la vue depuis près de 10 ans», a déclaré Mehul Revankar, vice-président de la gestion des produits et de l’ingénierie, Qualys, VMDR, et a noté qu’il y aurait probablement des millions d’actifs susceptibles d’y être exposés.

À propos de la vulnérabilité (CVE-2021-3156)
Également surnommé Baron Samedit (une pièce de théâtre sur Baron Samedi et sudoedit), la faille de dépassement de mémoire tampon basée sur le tas est présente dans les versions héritées de sudo (1.8.2 à 1.8.31p2) et toutes les versions stables (1.9.0 à 1.9.5p1) dans leur configuration par défaut.

«Lorsque sudo exécute une commande en mode shell, via l’option de ligne de commande -s ou -i, il échappe les caractères spéciaux dans les arguments de la commande avec une barre oblique inverse. Le plug-in de stratégie sudoers supprimera ensuite les caractères d’échappement des arguments avant d’évaluer la stratégie sudoers (qui n’attend pas les caractères d’échappement) si la commande est exécutée en mode shell », a expliqué le responsable de sudo Todd C. Miller.

«Un bogue dans le code qui supprime les caractères d’échappement lira au-delà du dernier caractère d’une chaîne s’il se termine par une barre oblique inverse sans échappement. Dans des circonstances normales, ce bogue serait inoffensif car sudo a échappé à toutes les contre-obliques dans les arguments de la commande. Cependant, en raison d’un bogue différent, cette fois dans le code d’analyse de la ligne de commande, il est possible d’exécuter sudoedit avec les options -s ou -i, en définissant un indicateur indiquant que le mode shell est activé. Puisqu’une commande n’est pas réellement exécutée, sudo n’échappe pas les caractères spéciaux. Enfin, le code qui décide de supprimer les caractères d’échappement ne vérifie pas si une commande est réellement exécutée, mais simplement que l’indicateur shell est défini. Cette incohérence est ce qui rend le bogue exploitable. »

Les chercheurs de Qualys, qui ont déniché et signalé CVE-2021-3156, ont fourni des détails techniques supplémentaires et des instructions sur la façon dont les utilisateurs peuvent vérifier s’ils ont une version vulnérable.

Ils ont développé plusieurs variantes d’exploit qui fonctionnent sur Ubuntu 20.04, Debian 10 et Fedora 33, mais ne partageront pas le code d’exploitation publiquement. «D’autres systèmes d’exploitation et distributions sont également susceptibles d’être exploitables», ont-ils souligné.

Des correctifs sont disponibles
Le bogue a été corrigé dans sudo 1.9.5p2, téléchargeable à partir d’ici.

Une version corrigée prise en charge par le fournisseur a été fournie par Ubuntu, RedHat, Debian, Fedora, Gentoo et d’autres.

Bien qu’il ne permette que l’élévation des privilèges et non l’exécution de code à distance, CVE-2021-3156 pourrait être exploité par des attaquants qui cherchent à compromettre les systèmes Linux et ont déjà réussi à y accéder (par exemple, via des attaques par force brute).