X
BLOG

Analizando al barón Samedit (Sudo CVE-2021-3156)

Analizando al barón Samedit (Sudo CVE-2021-3156) Tiempo de leer: 4 minutos

El 26 de enero de 2021, Qualys publicó un blog describiendo sus hallazgos sobre la vulnerabilidad de desbordamiento de pila en sudo, CVE-2021-3156, al que llamaron "Baron Samedit".

Sudo es una herramienta central en muchas distribuciones diferentes de Linux / Unix que permite a los usuarios ejecutar programas con privilegios de seguridad elevados. Es un componente que comúnmente se incluye e instala con Linux, BSD, macOS, AIX, Solaris y otros.

Analizando Baron Samedit (CVE-2021-3156) con Insure ++

Voy a demostrar Parasoft Asegurar ++ detección de sobre-lectura y sobreescritura de memoria usando esta vulnerabilidad. Insure ++ es una herramienta de depuración de memoria que utiliza técnicas de instrumentación patentadas para identificar fugas y otros problemas de memoria.

Insure ++ hace que descubrir, comprender y corregir estos errores sea mucho más fácil que utilizar las herramientas y técnicas de depuración tradicionales.

Descripción general de la vulnerabilidad de Baron Samedit (CVE-2021-3156)

Cuando las versiones vulnerables de sudo (v1.8.2 - v1.9.5p1) se ejecutan con un comando en modo shell y el argumento de la línea de comando termina en una sola barra invertida, un desbordamiento del búfer del user_args La cadena se produce debido a una falla en la forma en que se realiza la eliminación de los argumentos de la línea de comandos.

Al eliminar el escape del último carácter '\', la función sobrescribirá el terminador nulo de la cadena, lo que provocará un desbordamiento del búfer. Para obtener un desglose completo de la vulnerabilidad, consulte el original Blog de Qualys. Cubriré detalles similares cuando analicemos los resultados de Insure ++.

Configuración con Insure ++

Para replicar la vulnerabilidad en Insure ++, necesitamos descargar una versión vulnerable de sudo y compilarla usando Insure ++. La fuente de sudo v1.9.5p1, la última versión vulnerable, está disponible aquí en el sitio web de sudo. Después de desempaquetar el código fuente, asegúrese de que Insure ++ esté en su TRAYECTORIA y configura tu CC a "asegurar gcc" antes de ejecutar configure.

También debe considerar establecer un prefijo diferente para no anular el sudo del sistema, si corresponde. Desde aquí corre hacer y make install como de costumbre.

Ejecutando el Exploit

El artículo de Qualys proporcionó un comando de prueba de concepto simple que demuestra la vulnerabilidad de desbordamiento del búfer. Es como sigue:

sudoedit -s '\' 'perl -e' imprime "A" x 65536 ''

reemplazar sudoedit con la ruta al que compiló y ejecute el comando.

Captura de pantalla del comando ejecutar exploit CVE-2021-4156

Podemos decir por el malloc mensaje de que la prueba de concepto se ejecutó correctamente.

Analizar resultados

Veamos qué encontró Insure ++ al examinar los resultados en la ventana de Insra.

Captura de pantalla de Insure ++ sudoers.c (971), desbordamiento de lectura para CVE-2021-4156

Podemos ver que el primer error de memoria es un desbordamiento de lectura que ocurre en sudoers.c en la línea 971. Insra nos dice que el desde El puntero lee un byte fuera del bloque de memoria de dos bytes al que apunta.

Tenga en cuenta que el bloque de memoria tiene dos bytes porque el primero es el carácter '\' y el segundo es el terminador nulo. Un seguimiento de pila nos muestra que esto ocurre en el set_cmnd () función.

La captura de pantalla de Insure ++ sudoers.c (972) leyó un índice incorrecto para CVE-2021-4156

El siguiente error de memoria es una lectura de una dirección incorrecta en sudoers.c en la línea 972. Desde el desde puntero ya está fuera de los límites, como vimos en el primer error de memoria, cualquier acceso indexado usando desde será un índice incorrecto.

Captura de pantalla de Insure ++ sudoers.c (974), desbordamiento de lectura para CVE-2021-4156

El siguiente error de memoria es un desbordamiento de lectura que se produjo en la línea 974. Aquí estamos eliminando la referencia al puntero fuera de límites. desde y escribirlo en el búfer al que apunta el a puntero.

Tenga en cuenta que Insure ++ está rastreando el origen de estos bloques de memoria en todos los errores de memoria anteriores. Insure ++ es consciente de que el bloque de memoria que estamos leyendo está fuera de los límites de lo que se definió originalmente como argv parámetro en el principal() método en sudo.c.

Captura de pantalla de Insure ++ sudoers.c (974) desbordamiento de escritura para CVE-2021-4156

 

El siguiente error de memoria es un desbordamiento de escritura en la misma declaración que antes. Ahora, Insure ++ se activa al escribir en el búfer el a el puntero apunta a. Tenga en cuenta que el tamaño del búfer a apunta es 65539 bytes. La cadena de comando de desbordamiento que proporcionamos en la prueba de concepto era un carácter '\', un espacio, 65536 caracteres 'A' y un terminador nulo implícito que totalizaba 65539 bytes.

Captura de pantalla de Insure ++ sudoers.c (976), desbordamiento de lectura para CVE-2021-4156

El siguiente error de memoria ocurre fuera de if compruebe los caracteres '\'. ¿Por qué esto está provocando un desbordamiento de escritura ahora? Dado que los errores de memoria anteriores han corrompido a puntero para apuntar fuera de su bloque de memoria, todas las operaciones de escritura posteriores con este puntero resultarán en un desbordamiento de escritura.

Captura de pantalla de Insure ++ sudoers.c (978) desbordamiento de escritura para CVE-2021-4156

 

Aquí vemos la corrupción de la memoria final donde el programa nulo termina la cadena. ¡Este es absolutamente el comportamiento correcto! Sin embargo, el desbordamiento de escritura se produce porque a El puntero está dañado y ya apunta fuera del bloque de memoria que debería estar.

Conclusión

Podemos ver que Parasoft Insure ++ ha facilitado mucho el análisis de esta vulnerabilidad de la memoria. Pudimos identificar rápidamente la ubicación de los desbordamientos de lectura y escritura posteriores, saber qué variables estaban involucradas y ver cómo el puntero no válido afectó las operaciones de memoria posteriores. Cuando se combina con una buena cobertura de pruebas y fuzzing, Insure ++ puede hacer que muchos errores de memoria complejos sean mucho más fáciles de entender, diagnosticar y corregir.

Texto que lee Tiempo de ejecución y detección y visualización de errores de memoria con Parasoft Insure ++ con botón de llamada a la acción Descargue el documento técnico

Escrito por

Anthony Méndez

Anthony es un ingeniero de software senior en Parasoft, que se especializa en la detección de errores en tiempo de ejecución, el análisis estático, la ingeniería inversa, el análisis de vulnerabilidades y la explotación.

Reciba las últimas noticias y recursos sobre pruebas de software en su bandeja de entrada.

Prueba Parasoft