I team di sicurezza di Hewlett Packard Enterprise (HPE) segnalano una grave vulnerabilità in Sudo, il programma open source utilizzato dalla soluzione Aruba AirWave. Secondo il rapporto, lo sfruttamento riuscito del difetto consentirebbe a qualsiasi utente locale con privilegi minimi di ottenere i privilegi di root sugli host compromessi.
Tracciato come CVE-2021-3156, il difetto è stato segnalato dai ricercatori di Qualys all’inizio del 2021 e sarebbe presente in milioni di dispositivi attivi. A questo proposito, HPE ha concluso che la vulnerabilità potrebbe essere concatenata con altri attacchi informatici al fine di aumentare i privilegi sui sistemi interessati.
Come ricorderanno alcuni utenti, Sudo è un programma utilizzato da altre piattaforme per delegare l’autorità a concedere a determinati utenti determinate funzionalità in un sistema specifico. Mehul Revankar, un ricercatore di Qualys, ha descritto la vulnerabilità come “il bug di Sudo con il maggior impatto potenziale mai rilevato”, aggiungendo che il difetto era presente da almeno 10 anni.
Sebbene abbia ricevuto il rapporto mesi fa, HPE ha rivelato il difetto solo la scorsa settimana, osservando che interessa tutte le versioni della sua piattaforma di gestione AirWave precedenti alla v8.2.13.0, rilasciata un paio di mesi fa: “La vulnerabilità potrebbe consentire a un utente malintenzionato di accesso a Sudo per eseguire comandi o binari con privilegi di root.”
I ricercatori di Qualys hanno soprannominato questo difetto “Baron Samedit”, osservando che la sua esistenza risale al 2011. Sebbene all’inizio si credesse che il difetto riguardasse solo i sistemi Linux e BSD, a poco a poco la sua presenza è stata confermata in altre implementazioni, comprese le soluzioni HPE.
Infine, sebbene HPE sia l’ultima azienda a confermare la presenza di questo difetto nei suoi prodotti, gli esperti ritengono che non sarà l’ultima; anche così, è difficile misurare l’estensione approssimativa del potenziale sfruttamento su larga scala.
