Linux伺服器漏洞防護 可SUDO提權到管理員

linux一直以來很少有漏洞,穩定,高效,安全.深受網站,app運營者的喜歡與青睞,很多網站伺服器的運營技術和運維,在維護伺服器的同時都會使用sudo命令來做安全,殊不知sudo近期被爆出漏洞,並登上CVE-2019-14287級別,可見漏洞的危害性較大.Linux漏洞,目前來看使用centos系統的伺服器,以及網站都會受到該漏洞的影響,我們SINE安全建議大家儘快升級sudo的版本到最新的1.8.28版本,將損失降到最低.防止網站,伺服器,APP因為LINUX漏洞被攻擊.

CVE-2019-14287 sudo漏洞到底是為何產生,到底什麼是SUDO,我們SINE安全技術來跟大家講解一下,SUDO是linux系統的管理命令,可以允許使用者在不需要切換賬號的情況下,使用sudo的命令來執行root的命令,減少root的登入與管理,讓操作linux centos系統更方便.同時可以將伺服器的安全加強.

而該漏洞可以將sudo配置的使用者可以使用預設的配置規則來使用任意的使用者賬號來執行root管理員命令,攻擊者利用繞過規則的方式將惡意命令傳入到伺服器中進行執行.從而繞過root許可權,進行攻擊伺服器

我們SINE安全技術以實際的漏洞測試為基準,發現大部分的linux伺服器系統存在/etc/sudoers/目錄,如下圖所示一樣,其中白色字型ALL後面跟的就是使用者的組與可以使用sudo root命令的所屬賬號.那麼該如何利用linux漏洞呢? 首先使用者需要有sudo的許可權,並配置檔案允許任意的賬戶ID來允許命令的執行,達到以上條件後.我們來構造執行命令,使其繞過root許可權,執行管理員的命令.程式碼如下:

sine my.ini = (ALL, !root) /usr/bin/vi,可以直接允許使用VI命令編輯檔案,sudo -u#-1vi就可以以root的管理員許可權編輯檔案了,具體的linux漏洞POC復現過程看下圖:

目前受影響的linux版本是小於1.8.28的sudo版本都會受到該漏洞的攻擊,危害較大可導致伺服器被攻擊,被入侵,並提權,如果伺服器裡執行網站,APP,資料庫的話,很有可能資料洩露,資料篡改等攻擊問題的發生.請各位網站伺服器的維護人員,儘快升級sudo到最新版本,修復漏洞,將損失降到最低,安全不可忽視.