HPSudo漏洞可能允许攻击者在Aruba平台上获得root权限用户在存在漏洞的主机上获得root权限。根据HPE最近的安全公告,Sudo漏洞的危害非常大。攻击者一般是利用漏洞获取一个较低权限的跳板,然后利用这个跳板进行提权。因此,攻击者可以利用该漏洞发起链式攻击。.ArubaAirWave管理平台是HPE的有线和无线基础设施实时监控和安全警报系统。Qualys研究人员在1月份报告了Sudo漏洞(CVE-2021-3156),估计会影响数百万终端设备和系统的安全。根据Sudo许可证,该程序将允许系统管理员授权某些用户(或用户组)以root权限或其他用户运行部分(或全部)命令。Sudo回归当Sudo漏洞被发现时,Qualys产品管理和工程副总裁MehulRevankar在一份研究报告中认为,Sudo漏洞可能是近期最重要的Sudo漏洞(包括范围和影响),并且认为该漏洞已被隐藏了将近10年。2021年6月18日,该公司公开披露了该漏洞,并表示影响了8.2.13.0版本之前的所有AirWave管理平台。根据该安全公告,Sudo的命令行参数解析代码中存在一个漏洞,可能允许有权访问Sudo的攻击者以root权限执行命令或二进制文件。Qualys研究人员将Sudo漏洞命名为“BaronSamedit”,并表示它是在2011年7月被引入到Sudo代码中的。该漏洞最初被认为只影响Linux和BSD操作系统,包括Linux版本的Ubuntu20.04(Sudo1.8.31),Debian10(Sudo1.8.27)和Fedora33(Sudo1.9.2)。此后,多家厂商纷纷提出安全警告。HPE可能是最新一家在其代码中报告sudo依赖项的供应商,但它可能不会是最后一家。但在2月,Apple安全公告警告称,macOS(macOSBigSur11.2、macOSCatalina10.15.7、macOSMojave10.14.6)在一个未指明的应用程序中发现了一个Sudo漏洞。消息发布后,苹果及时发布了Sudo补丁(Sudo版本1.9.5p2),缓解了该漏洞的危害。HPE提供针对Sudo的缓解措施据研究人员称,该漏洞可被用于在ArubaAirWave管理平台的上下文中执行权限升级攻击。通过触发应用程序中的“堆溢出”漏洞,可以将用户的低访问权限更改为根访问权限。这可以通过在设备上植入恶意软件或对低权限的sudo帐户执行暴力攻击来实现。Sudo漏洞是一个基于堆的缓冲区溢出漏洞,允许任何本地用户欺骗Sudo以shell模式运行。研究人员解释说,当Sudo在shell模式下运行时,它会使用反斜杠转义命令参数中的特殊字符。此外,插件会在决定sudo用户的权限之前删除命令中的任何转义字符。HPE表示,为缓解此问题,用户应将AirWave管理平台升级到8.2.13.0及更高版本。Sudo在今年早些时候发布了一个补丁。HPEAirWave客户还可以使用一种技术解决方法来解决该漏洞。为尽量减少攻击者利用这些漏洞的可能性,Aruba建议将AirWave的CLI和基于Web的管理界面限制在专用的第2层网段/VLAN中,或由第3层及以上防火墙策略控制。本文翻译自:https://threatpost.com/hpe-sudo-bug-aruba-platform/169038/
