漏洞描述
2019年10月14日,Sudo官方发布了Sudo 1.8.28版本,其中包含sudo root权限绕过漏洞的补丁修复。
此漏洞编号是CVE-2019-14287,当sudo配置为允许用户以任意方式运行命令时用户通过Runas规范中的ALL关键字,可以通过指定用户ID -1或4294967295以root用户身份运行命令。
具有足够sudo权限的用户可以使用它来运行Runas规范明确禁止使用的root命令,以这种方式运行的命令的日志条目将列出目标用户为4294967295而不是root。
Sudo 的全称是“superuserdo”,它是Linux系统管理指令,允许用户在不需要切换环境的前提下以其它用户的权限运行应用程序或命令,通常是以 root 用户身份运行命令,以减少 root 用户的登录和管理时间,同时提高安全性。
测试环境为笔者办公环境Deep15
![[漏洞复现]CVE-2019-14287 sudo提权漏洞](http://blog.shadowsec.org/wp-content/uploads/2022/06/frc-ce02072ff5be74e4dda27e11a1d92d8e.png)
漏洞分析
默认情况下,在大多数Linux发行版中如图所示,/etc /sudoers文件中RunAs规范中的ALL关键字允许admin或sudo组中的所有用户以系统上的任何有效用户身份运行任何命令。
但是,由于特权分离是Linux中的基本安全范例之一,因此管理员可以配置sudoers文件来定义哪些用户可以运行哪些命令。
因此,即使限制了用户以root用户身份运行特定命令或任何命令,该漏洞也可能允许用户绕过此安全策略并完全控制系统。
该漏洞由Apple Information Security的Joe Vennix发现,漏洞编号为CVE-2019-14287,该漏洞引起大量关注,因为sudo程序是为了让用户使用自己的登录密码来以其他用户身份执行命令,无需输入密码。
更有趣的是,攻击者可以利用此漏洞,只需指定用户ID“ -1”或“ 4294967295”即可以root身份运行命令。
这是因为将用户ID转换为用户名的函数将-1或其无符号等效4294967295误认为是0,该值始终是root用户的用户ID。
利用该漏洞要求用户具有 sudo 权限,从而以任意用户 ID 运行命令。一般而言,用户的 sudoers 条目在 Runas 规范中具有特殊值 ALL。
sudo -u#1234 id -u
将返回1234,然而,sudo 在运行命令前用户修改用户 ID 的setresuid(2) 和 setreuid(2)系统调用将特殊对待用户 ID为-1(或其未签名的等同值 4294967295)而且并不会修改该值的用户 ID。因此,
sudo -u#-1 id -u
sudo -u#4294967295 id -u
![[漏洞复现]CVE-2019-14287 sudo提权漏洞](http://blog.shadowsec.org/wp-content/uploads/2022/06/frc-708de09c36c7f69d9c28f8a947c2f8e9.png)
但是这一操作需要你输入当前用户的密码进行下一步
![[漏洞复现]CVE-2019-14287 sudo提权漏洞](http://blog.shadowsec.org/wp-content/uploads/2022/06/frc-1b923e8a24f2062fdc57636666e60667.png)
实际上会返回 0。这是因为 sudo命令本身就已经以用户 ID 为0 运行,因此当 sudo 试图将用户 ID 修改成 -1时,不会发生任何变化。这就导致 sudo 日志条目将该命令报告为以用户 ID 为 4294967295而非 root (或者用户ID为 0)运行命令。此外,由于通过–u 选项指定的用户 ID 并不存在于密码数据库中,因此不会运行任何 PAM 会话模块。
复现
sudo -u#-1 /bin/bash
![[漏洞复现]CVE-2019-14287 sudo提权漏洞](http://blog.shadowsec.org/wp-content/uploads/2022/06/frc-a33f81dc0e9cc1986c5111ef1650e7a3.png)
影响版本
1.8.28之前的Sudo版本。
修复
Sudo 1.8.28 版本已修复该漏洞,建议 Linux用户将 sudo包手动更新至最新版本。
本文来源于互联网:[漏洞复现]CVE-2019-14287 sudo提权漏洞