Hewlett Packard Enterprise (HPE) gần đây đưa ra cảnh báo về một lỗ hổng trong Sudo, một chương trình mã nguồn mở được sử dụng trong nền tảng quản lý Aruba AirWave, có thể cho phép người dùng cục bộ không có đặc quyền và chưa được xác thực dành được đặc quyền root trên máy chủ tồn tại lỗ hổng.
HPE cho biết, với mức độ nghiêm trọng cao, “nếu khai thác thành công một lỗ hổng với đặc quyền thấp trong hệ thống, tin tặc có thể kết hợp với lỗ hổng này để nâng cao đặc quyền, từ đó thực thi các hoạt động độc hại với đặc quyền ở mức cao nhất“.
Nền tảng quản lý Aruba AirWave là hệ thống cảnh báo bảo mật và giám sát thời gian thực của HPE dành cho cơ sở hạ tầng mạng có dây và không dây. Lỗ hổng trong Sudo (còn gọi là Baron Samedit -CVE-2021-3156) được các nhà nghiên cứu của Qualys tiết lộ vào ngày 13/01 và đã có bản vá trước khi công bố công khai. Đây là một lỗi tràn bộ đệm trong bộ nhớ heap, có thể bị khai thác bởi người dùng cục bộ. Nó được coi là một trong những “lỗ hổng nghiêm trọng nhất trong bộ nhớ (cả về phạm vi và tác động) và đã tồn tại gần 10 năm.”
Sudo là viết tắt của “substitute user do”, hay “super user do” – một chương trình của Unix cho phép quản trị hệ thống cấp các đặc quyền root giới hạn đến người dùng thông thường (nằm trong danh sách file sudoer) trong khi vẫn lưu trữ log các hoạt động của họ.
Trong bản tin bảo mật phát hành vào tuần trước, HPE cho biết lỗ hổng ảnh hưởng đến nền tảng AirWave phiên bản cũ hơn 8.2.13.0 (được phát hành vào ngày 18 tháng 6).
“Lỗ hổng tồn tại do Sudo thực hiện không chính xác việc unescape dấu “\” trong các đối số, cho phép kẻ tấn công truy cập Sudo để thực hiện các lệnh hoặc tệp nhị phân với đặc quyền root.”
Khai thác lỗ này, các nhà nghiên cứu có thể có được các đặc quyền root trên nhiều bản phân phối Linux, gồm có Debian 10 (Sudo 1.8.27), Ubuntu 20.04 (Sudo 1.8.31) và Fedora (Sudo 1.9.2). Các bản phân phối và hệ điều hành khác như MacOS của Sudo cũng có thể bị khai thác bởi lỗ hổng này.
Để giảm thiểu rủi ro bởi lỗ hổng, HPE khuyên người dùng nên cập nhật AirWave lên phiên bản 8.2.13.0 hoặc mới hơn. HPE nói thêm: “Aruba khuyến nghị rằng CLI và các giao diện quản lý dựa trên web cho AirWave nên được hạn chế ở một phân đoạn mạng chuyên biệt trong Layer 2/VLAN hoặc được kiểm soát bởi các chính sách tường lửa trong Layer 3 trở lên“.
Theo Threatpost