HPE與Apple一起警告用戶存在嚴重的Sudo漏洞。

惠普公司(Hewlett Packard Enterprise)警告說，其Aruba AirWave管理平臺上使用的開源程序Sudo存在一個漏洞，該漏洞可能允許任何沒有特權和身份驗證的本地用戶獲得受攻擊主機的Root權限。

根據HPE最近的安全公告，比較嚴重的Sudo漏洞可能是“鏈式攻擊”的一部分，即“攻擊者通過另一個漏洞獲得了較低權限的立足點，然后利用此漏洞升級權限”。

Aruba AirWave管理平臺是HPE針對有線和無線基礎設施的實時監控和安全警報系統。今年1月，Qualys的研究人員報告了Sudo漏洞(CVE-2021-3156)，據消息影響數百萬終端設備和系統。

Sudo是其他平臺使用的一個程序，根據Sudo許可證，它“允許系統管理員授權給特定用戶(或用戶組)以root用戶或其他用戶的身份運行某些(或所有)命令”。

Sudo漏洞或隱藏近10年

在發現Sudo漏洞時，Qualys的產品管理和工程副總裁Mehul Revankar在一份研究報告中將Sudo缺陷描述為：可能是最近記憶中最重要的Sudo漏洞(無論是在范圍還是影響方面)，并且已經隱藏了近10年。

就HPE而言，該公司上周公開披露了該漏洞，并表示它影響了8.2.13.0版(于2021年6月18日發布)之前的AirWave管理平臺。

安全公告稱:“Sudo命令行參數解析代碼中的一個漏洞可能允許訪問Sudo的攻擊者以root權限執行命令或二進制文件。”

Qualys研究人員將Sudo漏洞命名為“Baron Samedit”，并表示該漏洞于2011年7月被引入到Sudo代碼中。該漏洞最初被認為僅影響Linux和BSD操作系統，包括從Ubuntu 20.04 (Sudo 1.8. 31)、Debian 10 (Sudo 1.8.27) 和 Fedora 33 (Sudo 1.9.2)。從那以后，更多的供應商提出了安全警告。

HPE可能是最新一個在其代碼中報告Sudo依賴項的公司，但它可能不會是最后一個。

在2月份，Apple安全公告警告說 macOS(macOS Big Sur 11.2、macOS Catalina 10.15.7、macOS Mojave 10.14.6)在一個未指明的應用程序中包含Sudo漏洞。消息發布后，Apple發布了Sudo補丁(Sudo 版本 1.9.5p2)以緩解該問題。

HPE 提供針對Sudo的緩解措施

研究人員稱，在Aruba AirWave管理平臺的背景下，該漏洞可用于實施特權升級攻擊。“通過在應用程序中觸發‘堆溢出’，就有可能將用戶的低權限訪問更改為root級別用戶的訪問。這可以通過在設備上植入惡意軟件或對低權限Sudo賬戶實施暴力攻擊來實現，”研究人員寫道。

Sudo錯誤是基于堆的緩沖區溢出，它允許任何本地用戶欺騙Sudo以“shell”模式運行。研究人員解釋說，當Sudo在shell模式下運行時，“它用反斜杠轉義命令參數中的特殊字符。”然后，策略插件將在決定Sudo用戶的權限之前刪除所有轉義字符。”

HPE 表示，為了緩解這個問題，用戶應該將AirWave管理平臺升級到8.2.13.0及更高版本。Sudo今年早些時候還發布了一個補丁。

HPE AirWave 客戶也可以使用技術解決方法：

HPE寫道:“為了將攻擊者利用這些漏洞的可能性降到最低，Aruba建議將AirWave的CLI和基于web的管理接口限制在專用的第2層段/VLAN和/或由第3層及以上的防火墻策略控制。”

網絡安全建設需從多面解決

作為“鏈式攻擊”的一部分，sudo漏洞為攻擊者打開了一個窗口。并且漏洞已存在近10年之久，這意味著存在此漏洞的系統不但數量龐大而且極易受到網絡攻擊。然而對于一些安全漏洞，在軟件開發時期即可通過靜態代碼檢測在第一時間發現。靜態代碼安全檢測不但可以查找、定位代碼缺陷問題，同時還能檢測出一些不需要運行即可發現的問題，如XXS,注入漏洞、緩沖區溢出等。

隨著網絡空間“戰爭”愈加頻繁，企業應制定網絡安全管控機制，提高網絡安全意識，加強軟件安全建設。尤其在軟件開發期間或驗收使用時，應首先確保代碼質量安全以保障軟件安全。建議各企業在原基礎上更重視網絡安全問題，提高軟件等安全防護的同時，了解更多安全漏洞相關知識及安全檢測手段。

參讀鏈接：

www.woocoom.com/b021.html?i…

threatpost.com/hpe-sudo-bu…