臨近2021春節年末,我們SINE安全監測中心發現Linux系統被爆出致命漏洞,導致大部分服務器受到黑客的攻擊與入侵,該漏洞發生的根源是由於系統的管理命令。SUDO存在問題,導致普通用戶無需輸入root密碼,可以直接使用sudo命令提權到root管理員權限,這漏洞是今年linux爆出的最大的漏洞,危害性極高,目前受漏洞影響的Linux版本是Linux Sudo1.8.2- 1.8.31p2 LinuxSudo1.9.0- 1.9.5 p1等版本,可以說是大多數的linux系統都有漏洞。目前我們已對SINE安全的客戶服務器緊急修復該漏洞,目前可防御該漏洞的攻擊,與黑客的入侵。
通過對其他服務器以及網站的安全檢測,該linux漏洞已經被黑客利用導致國內的許多網站受到攻擊,篡改,網站被劫持跳轉,數據被竊取,導致信息泄露,有些網站的數據庫也被黑客攻擊,危害性太大。
我們SINE安全來詳細分析下這次漏洞,首先什么是linux的管理命令? SUDO是可以允許管理員讓普通用戶執行root命令的1個工具,相當於su或者halt的命令,這樣可以減少root登陸時間和管理,也可以提高linux系統的安全性,可這樣的1個指令工具,本身是為了更好的管理,以及linux的安全,竟然存在溢出漏洞,該漏洞編號是CVE-2021-3156,據報道稱該漏洞已存在十年了,簡單來講,,大部分的linux系統都存在漏洞,可導致黑客利用普通用戶無需root密碼,直接變成root管理員權限。
漏洞發生的主要因素是sudo對一些非法參數的轉義存在問題,將反斜杠等特殊的字符給轉義成別的參數了,造成了溢出漏洞,sudo -i 運行命令的情況下,黑客可植入特殊字符,直接繞過輸入root密碼,直接獲取管理員權限。具體利用POC如下圖:
漏洞利用的難度系數很低,大部分的黑客都會使用,漏洞傷害較大,建議使用linux服務器的運維技術以及安全維護技術,盡快對linuxl漏洞進行升級,漏洞修復辦法對於自動分配的普通用戶進行限制,包括網站使用的賬戶也要進行限制,SSH登陸做IP白名單限制,SUDU命令升級到最新版本。如過您的服務器也因該LINUX漏洞遭受到了攻擊,可以找專業的服務器安全公司進行防護與漏洞修復。