Overslaan en naar de inhoud gaan

Tien jaar oude sudo-fout geeft Linux-aanvallers root-rechten

Een groot deel van het Linux-ecosysteem blijkt al tien jaar een fout te bevatten waarmee aanvallers root-rechten kunnen krijgen op het systeem. Het gaat om een kwetsbaarheid in Sudo, een programma waarmee administrators root-toegang aan gebruikers kunnen geven. De fout is gepatcht in Sudo v1.9.5p2.
Linux Tux

De kwetsbaarheid, die onder CVE-2021-3156 gevolgd wordt, werd twee weken geleden ontdekt door beveiligingsbedrijf Qualys, schrijft ZDNet. Om de fout te misbruiken heeft een aanvaller alleen toegang tot een account met lage bevoegdheden nodig. Via zo'n account kan een aanvaller de kwetsbaarheid - die ook wel Baron Samedit genoemd wordt - misbruiken om zijn privileges te verhogen naar root.

De fout is ook te misbruiken als het account niet in /etc/sudoers staat. Dat is een configuratiebestand waarmee vastgesteld wordt welke gebruikers su- of sudo-commando's mogen gebruiken. Ook hoeft een aanvaller zich verder niet te verifiëren om de fout te misbruiken. 

Veel Linux-versies getroffen

Qualys stelt dat de fout zijn weg naar veel Linux-distributies heeft gevonden. Baron Samedit zit namelijk in alle installaties van Sudo waar het bestand /etc/sudoers in aanwezig is. Dat bestand zit in de meeste standaard installaties van Linux met Sudo.

De kwetsbaarheid blijkt bovendien al tien jaar in de systemen te zitten: Baron Samedit verscheen voor het eerst in juli 2011 in de Sudo-code. In de jaren daarna is de fout in alle versies van Sudo meegekomen.

Qualys zegt zelf dat het de exploits heeft geschreven voor Ubunto 20.04 met Sudo 1.8.31, Debian 10 met Sudo 1.8.27 en Fedora 33 met Sudo 1.9.2. Volgens het bedrijf zijn waarschijnlijk ook andere besturingssystemen en distributies kwetsbaar door de fout. 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in