SØK
VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#008-2021] [TLP:CLEAR] Alvorlig sårbarhet i Sudo (CVE-2021-3156)

27-01-2021

JustisCERT ønsker å varsle om en sårbarhet i Sudo som rammer en rekke Linux/Unix baserte systemer (CVE-2021-3156) [1]. Sårbarheten ble introdusert i Sudo i juli 2011 i versjon 1.8.2 (legacy) og 1.9.0 (stable).

 

Det er p.t ikke kjent med aktiv utnyttelse av denne sårbarheten i Norge, men det er forventet at dette kommer snart da det foreligger nesten ferdig angrepsverktøy. I kombinasjon med mindre alvorlige sårbarheter kan CVE-2021-3156 raskt gi angriper full kontroll over berørte systemer. Det er derfor spesielt viktig å patche alle berørte systemer også for andre sårbarheter.

 

Red Hat [2] og Ubuntu [3] har publisert patcher for denne sårbarheten og det er forventet at andre Linux/Unix-distribusjoner vil publisere oppdatering i løpet av kort tid.

 


Berørte produkter er blant annet:

  • Linux/Unix-distribusjoner med Sudo-versjon fra 1.8.2 til 1.8.31p2
  • Linux/Unix-distribusjoner med Sudo-versjon fra 1.9.0 til 1.9.5p1
  • Flere appliance-løsninger med Linux/Unix kan også være berørt

 

 

Anbefalinger:

  • Oppgrader berørte systemer for å fjerne andre kjente sårbarheter
  • Du kan i mange tilfeller teste om CVE-2021-3156 er tilstede ved:
    • Start terminal som vanlig bruker
    • Skriv: ‘sudoedit -s /’
    • Får du en feilmelding som starter med ‘sudoedit:’ er systemet sårbart
    • Systemer som ikke er sårbare vil gi en melding som starter med ‘usage:’
  • Slett alle brukerkontoer som ikke benyttes
  • Blokker all terminaltilgang til løsninger fra internett (f.eks. i sentral brannmur)
  • Avinstaller Sudo der det er mulig og benytt ’su’ som en midlertidig løsning inntil patch foreligger
  • Begrens hvilke IPer som kan administrere løsningen til kun de faste interne IPene som administratorene av løsningen benytter
  • Aktiver 2-faktor/multifaktor autentisering (MFA) for alle internetteksponerte tjenester
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Aktiver IPS-signaturer/annen beskyttelse i brannmurer som kan bidra til å beskytte internetteksponerte løsninger
  • Patch/oppdater berørte produkter så snart sikkerhetsoppdateringer foreligger


 
 
Kilder:

[1] https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit

[2] https://access.redhat.com/errata/RHSA-2021:0218

[3] https://ubuntu.com/security/notices/USN-4705-1