Blog

Les derniers temps ont été difficiles pour Windows qui a été la cible d’attaques résultant de vulnérabilités. Linux, souvent considéré comme un système d'exploitation épargné par les logiciels malveillants, fait actuellement face à des cyberattaques. Au milieu de menaces comme SambaCry et Luabot, qui ont vu le jour récemment, une autre attaque visant Linux semble beaucoup plus menaçante. Ce nouveau malware exploite une faille de la commande sudo afin d’obtenir un accès root sur le système affecté.

sudo malware linux

Qu’est-ce que sudo?

Sudo signifie « substitute user do » ou « super user do », en fonction du type de compte qui exécute la commande. L’utilisateur root a la capacité de pouvoir effectuer des modifications importantes sur la machine. Les applications d’administration sous Linux peuvent être exécutées soit en passant par un super utilisateur, en utilisant la commande su, soit en profitant de la commande sudo. C'est exactement là que ce nouveau logiciel malveillant entre en jeu. Qualys Security a découvert une vulnérabilité dans la fonction “get_process_ttyname()” de la commande sudo.

La faille Sudo et ses conséquences

La faille réside dans la façon dont sudo analyse les informations tty du fichier status ; cette vulnérabilité a été identifié sous l’identifiant CVE-2017-1000367 par l'équipe Qualys Security. Comme expliqué par les experts de Qualys Security, la commande sudo parcourt le fichier status pour déterminer le numéro et le type de périphérique. Il le fait en localisant le tty du champ 7 (tty_nr).
En règle générale, les champs du fichier status ont une limite dans le nombre d’espaces. Mais il est possible dans le nom d’une commande d’inclure des espaces blancs, qui ne sont pas comptabilisés par sudo. Ainsi, un utilisateur local avec un privilège sudo peut faire en sorte que sudo utilise le numéro de périphérique de son choix. En conséquence, il devient possible de remplacer n’importe quel fichier sur le système de fichiers, notamment les fichiers appartenant à l'utilisateur root.

Il existe deux façons d'exploiter cette vulnérabilité sudo :

1. Un utilisateur peut choisir un numéro de périphérique qui correspond à un terminal actuellement utilisé par un autre utilisateur. Cela permet à l’attaquant d'exécuter n'importe quelle commande sur un terminal arbitraire s'il a un accès en lecture et en écriture à partir de la commande sudo. Cela permet à l'attaquant de lire des données sensibles sur le terminal d'un autre utilisateur.
2. Un utilisateur peut également choisir un numéro de périphérique qui n'existe pas sous /dev. Ainsi, sudo va effectuer une recherche en profondeur dans /dev. Si un pseudo terminal est alloué avant que la recherche ne se termine, alors l’attaquant peut créer un lien symbolique vers le périphérique nouvellement créé dans un répertoire accessible par tout le monde sous /dev (tel que /dev/hsz). Ce fichier sera utilisé comme entrée, sortie et erreur de la commande lorsqu'un rôle SELinux sera spécifié dans la ligne de commande sudo. Si le lien symbolique sous /dev/hsz est remplacé par un lien vers un autre fichier avant qu'il soit ouvert par sudo, il est possible d'écraser un fichier arbitraire en écrivant dans la sortie standard. Cela peut être étendu à un accès root complet en réécrivant un fichier approuvé tel que etc/shadow ou même etc/sudoers. Pour plus de détails, consultez le Qualys Security‘s advisory.

Comment Desktop Central peut facilement éradiquer cette faille sudo ?

Cette vulnérabilité affecte Sudo 1.8.6p7 à 1.8.20 et elle est désignée comme d’une grande sévérité. De plus, elle a déjà été patché dans Sudo 1.8.20p1. Red Hat a publié des patchs pour Red Hat Enterprise Linux 6 et 7, ainsi que Red Hat Enterprise Linux Server, le 30 mai dernier. Debian a publié des mises à jour pour Wheezy, Jessie, et Sid, et SUSE Linux a également fourni des mises à jour de ses produits.
La meilleure façon de se protéger de cette vulnérabilité est de mettre à jour vos systèmes Linux. Et la manière la plus simple de mettre à jour tous vos systèmes Ubuntu et Debian est de le faire directement depuis Desktop Central.
Desktop Central prend en charge les derniers correctifs Debian et Ubuntu, immédiatement après leur publication par leur fournisseur respectif. Des menaces émergent quotidiennement sur diverses plates-formes et applications. C’est pourquoi, il vous faut faire en sorte de garder votre réseau à l'abri des logiciels malveillants ou des logiciels publicitaires en les mettant à jour régulièrement. Mettez à jour vos machines Windows, Mac et Linux – ainsi que plus de 250 applications tierces - directement depuis Desktop Central.