Sudo, una utilidad que se encuentra en docenas de sistemas operativos similares a Unix, recibió un parche para un error potencialmente grave que permite a los usuarios sin privilegios obtener fácilmente privilegios de root sin restricciones en sistemas vulnerables.
La vulnerabilidad, rastreada como CVE-2023-18634, es el resultado de un error de desbordamiento de búfer basado en pila que se encontró en las versiones 1.7.1 a 1.8.25p1. Solo se puede activar cuando un administrador o un sistema operativo posterior, como Linux Mint y Elementary OS, ha habilitado una opción conocida como pwfeedback. Con pwfeedback activado, la vulnerabilidad puede ser aprovechada incluso por usuarios que no figuran en sudoers, un archivo que contiene reglas que los usuarios deben seguir al usar el comando sudo.
Sudo es una potente utilidad que se incluye en la mayoría, si no en todos, los sistemas operativos basados en Unix y Linux. Permite a los administradores permitir que individuos o grupos específicos ejecuten comandos o aplicaciones con privilegios de sistema más altos de lo habitual. Tanto las distribuciones macOS de Apple como Debian de Linux recibieron actualizaciones la semana pasada. Las personas que usan otros sistemas operativos deben verificar sus configuraciones y números de versión para asegurarse de que no sean vulnerables.
No se requieren permisos de sudo
“La explotación del error no requiere permisos de sudo, simplemente que se habilite pwfeedback”, dijo un aviso publicado por los desarrolladores de sudo. “El error se puede reproducir pasando una entrada grande a sudo a través de una tubería cuando solicita una contraseña. Un ejemplo de código de explotación es:
$ perl -e 'print(("A" x 100 . "\x{00}") x 50)' | sudo -S id
Password: Segmentation fault
El aviso enumera dos fallas que conducen a la vulnerabilidad. El primero: pwfeedback no se ignora como debería ser cuando se lee desde algo que no sea una terminal. Como resultado, la versión guardada de un carácter de borrado de línea permanece en su valor inicializado de 0. El segundo factor que contribuye es que el código que borra la línea de asteriscos no restablece correctamente la posición del búfer si hay un error al escribir los datos. En su lugar, el código restablece solo la longitud restante del búfer.
Como resultado, la entrada puede escribir más allá del final de los búferes. Los sistemas con tubería unidireccional permiten que un intento de escribir en el extremo de lectura de la tubería produzca un error de escritura. Debido a que la longitud restante del búfer no se restablece correctamente cuando se producen errores de escritura debido al borrado de líneas, el búfer de pila puede desbordarse.
“Si pwfeedback está habilitado en sudoers, el desbordamiento de la pila puede permitir que los usuarios sin privilegios escalen a la cuenta raíz”, indicó el aviso. “Debido a que el atacante tiene el control total de los datos utilizados para desbordar el búfer, existe una alta probabilidad de explotación.
El historial de versiones de sudo muestra que la vulnerabilidad se introdujo en 2009 y permaneció activa hasta 2023, con el lanzamiento de 1.8.26b1. Los sistemas o software que utilicen una versión vulnerable deben pasar a la versión 1.8.31 tan pronto como sea posible. Aquellos que no puedan actualizar de inmediato pueden evitar vulnerabilidades asegurándose de que pwfeedback esté deshabilitado. Para comprobar su estado, ejecute:
sudo -l
Si pwfeedback aparece en las «entradas de valores predeterminados coincidentes», la configuración de sudoers es vulnerable en las versiones de sudo afectadas. El siguiente es un ejemplo de salida que indica una configuración sudo vulnerable:
$ sudo -l
Matching Defaults entries for millert on linux-build:
insults, pwfeedback, mail_badpass, mailerpath=/usr/sbin/sendmail
User millert may run the following commands on linux-build:
(ALL : ALL) ALL
Deshabilitar pwfeedback implica usar el comando visudo para editar el archivo sudoers y agregar un signo de exclamación para que
Defaults pwfeedback
se convierte en:
Defaults !pwfeedback
La vulnerabilidad fue reportada por Joe Vennix del grupo de seguridad de la información de Apple.
