HPE adverte que bug que dá privilégios aos atacantes à plataforma Aruba - Gustavo Kennedy Renkel

A HPE se junta à Apple para alertar os clientes sobre uma vulnerabilidade Sudo de alta gravidade.

A Hewlett Packard Enterprise (HPE) está alertando que uma vulnerabilidade no Sudo, um programa de código aberto usado em sua plataforma de gerenciamento Aruba AirWave, poderia permitir que qualquer usuário local não desprivilegiado e não autenticado obtenha privilégios radicais em um host vulnerável.

Avaliado em gravidade, o HPE adverte que a falha do Sudo pode ser parte de um “ataque acorrentado” onde um “invasor alcançou uma base com privilégios mais baixos através de outra vulnerabilidade e, em seguida, usa isso para escalar privilégios”, de acordo com um recente boletim de segurança do HPE.

A plataforma de gerenciamento Aruba AirWave é o sistema de monitoramento e alerta de segurança em tempo real da HPE para infraestruturas com fio e sem fio. O bug Sudo (CVE-2021-3156) foi relatado em janeiro por pesquisadores da Qualys e acredita-se que impacte milhões de dispositivos e sistemas.

Sudo é um programa usado por outras plataformas que “permite que um administrador de sistema delegue autoridade para dar a certos usuários (ou grupos de usuários) a capacidade de executar alguns (ou todos) comandos como raiz ou outro usuário”, de acordo com a licença Sudo.

Retornos de Sudo

Na época em que o bug sudo foi encontrado, Mehul Revankar, vice-presidente de gerenciamento e engenharia de produtos da Qualys, descreveu a falha da Sudo em uma nota de pesquisa como, “talvez a vulnerabilidade sudo mais significativa na memória recente (tanto em termos de escopo quanto de impacto) e tem se escondido à vista de todos há quase 10 anos”.

Por parte da HPE, a empresa divulgou publicamente a falha na semana passada e disse que afetou a plataforma de gerenciamento Da AirWave antes da versão 8.2.13.0 – lançada em 18 de junho de 2021.

“Uma vulnerabilidade no código de parsagem de parâmetros da linha de comando da Sudo poderia permitir que um invasor com acesso ao Sudo executasse comandos ou binários com privilégios radiculares”, de acordo com o boletim de segurança.

Pesquisadores da Qualys chamaram a vulnerabilidade sudo de “Barão Samedit” e disseram que o bug foi introduzido no código Sudo em julho de 2011. O bug só foi acreditado para impactar os sistemas operacionais Linux e BSD, incluindo versões do Linux que variam de Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) e Fedora 33 (Sudo 1.9.2). Desde então, fornecedores adicionais apresentaram avisos de segurança.

O HPE pode ser o mais recente a relatar uma dependência sudo em seu código, mas provavelmente não será a última.

Mas em fevereiro, um boletim de segurança da Apple alertou que o macOS (macOS Big Sur 11.2, macOS Catalina 10.15.7, macOS Mojave 10.14.6) continha a falha sudo dentro de um aplicativo não especificado. A notícia foi seguida pelo lançamento da Apple de um patch Sudo (versão Sudo 1.9.5p2) para mitigar o problema.

HPE oferece mitigação contra Sudo

No contexto da plataforma de gerenciamento Aruba AirWave, de acordo com os pesquisadores, o bug poderia ser usado para realizar ataques de escalada de privilégios. “Ao desencadear um ‘estouro de pilha’ no aplicativo, torna-se possível alterar o acesso de baixo privilégio do usuário ao de um usuário de nível raiz. Isso é possível, seja plantando malware em um dispositivo ou realizando um ataque de força bruta em uma conta Sudo de baixo privilégio”, escreveram os pesquisadores.

O bug Sudo é um estouro de buffer baseado em pilha, que permite que qualquer usuário local engane Sudo para executar no modo “shell”. Quando Sudo está em execução no modo shell, os pesquisadores explicam, “ele escapa de caracteres especiais nos argumentos do comando com uma barra invertida”. Em seguida, um plug-in de política remove qualquer caractere de fuga antes de decidir sobre as permissões do usuário Sudo.”

A HPE diz que para mitigar o problema os usuários devem atualizar para a plataforma de gerenciamento AirWave para 8.2.13.0 ou mais. Sudo também lançou um patch no início deste ano. Uma solução técnica também está disponível para clientes hpe AirWave:

“Para minimizar a probabilidade de um invasor explorar essas vulnerabilidades, a Aruba recomenda que as interfaces de gerenciamento baseadas na CLI e na Web para o AirWave fiquem restritas a um segmento de camada 2/VLAN dedicado e/ou controlado por políticas de firewall na camada 3 ou acima”, escreveu o HPE.