Tien jaar oude sudo-fout geeft Linux-aanvallers root-rechten

De kwetsbaarheid, die onder CVE-2021-3156 gevolgd wordt, werd twee weken geleden ontdekt door beveiligingsbedrijf Qualys, schrijft ZDNet. Om de fout te misbruiken heeft een aanvaller alleen toegang tot een account met lage bevoegdheden nodig. Via zo'n account kan een aanvaller de kwetsbaarheid - die ook wel Baron Samedit genoemd wordt - misbruiken om zijn privileges te verhogen naar root.

De fout is ook te misbruiken als het account niet in /etc/sudoers staat. Dat is een configuratiebestand waarmee vastgesteld wordt welke gebruikers su- of sudo-commando's mogen gebruiken. Ook hoeft een aanvaller zich verder niet te verifiëren om de fout te misbruiken. 

Veel Linux-versies getroffen

Qualys stelt dat de fout zijn weg naar veel Linux-distributies heeft gevonden. Baron Samedit zit namelijk in alle installaties van Sudo waar het bestand /etc/sudoers in aanwezig is. Dat bestand zit in de meeste standaard installaties van Linux met Sudo.

De kwetsbaarheid blijkt bovendien al tien jaar in de systemen te zitten: Baron Samedit verscheen voor het eerst in juli 2011 in de Sudo-code. In de jaren daarna is de fout in alle versies van Sudo meegekomen.

Qualys zegt zelf dat het de exploits heeft geschreven voor Ubunto 20.04 met Sudo 1.8.31, Debian 10 met Sudo 1.8.27 en Fedora 33 met Sudo 1.9.2. Volgens het bedrijf zijn waarschijnlijk ook andere besturingssystemen en distributies kwetsbaar door de fout.