Hewlett Packard Enterprise (HPE) đã đưa ra cảnh báo về lỗ hổng trong Sudo, một chương trình mã nguồn mở được sử dụng trong nền tảng quản lý Aruba AirWave, có thể cho phép người dùng cục bộ không có đặc quyền và chưa được xác thực dành được đặc quyền root trên máy chủ tồn tại lỗ hổng.
Theo đó, nếu khai thác thành công một lỗ hổng với đặc quyền thấp trong hệ thống, tin tặc có thể kết hợp với lỗ hổng này để nâng cao đặc quyền, từ đó thực thi các hoạt động độc hại với đặc quyền ở mức cao nhất.
Nền tảng quản lý Aruba AirWave là hệ thống cảnh báo bảo mật và giám sát thời gian thực của HPE dành cho cơ sở hạ tầng mạng có dây và không dây. Lỗ hổng trong Sudo định danh CVE-2021-3156 được các nhà nghiên cứu của Qualys tiết lộ vào ngày 13/1 và đã có bản vá trước khi công khai. Đây là lỗ hổng tràn bộ đệm trong bộ nhớ heap, có thể bị khai thác bởi người dùng cục bộ, được coi là một trong những lỗ hổng nghiêm trọng nhất trong bộ nhớ và đã tồn tại gần 10 năm.
Trong bản vá lỗ hổng bảo mật phát hành trước đó, HPE cho biết lỗ hổng ảnh hưởng đến nền tảng AirWave phiên bản cũ hơn 8.2.13.0 được phát hành vào ngày 18/6. Lỗ hổng tồn tại do Sudo thực hiện không chính xác việc unescape dấu “\” trong các đối số, cho phép kẻ tấn công truy cập Sudo để thực hiện các lệnh hoặc tệp nhị phân với đặc quyền root.
Khai thác lỗ này, các nhà nghiên cứu có thể có được các đặc quyền root trên nhiều bản phân phối Linux, gồm có Debian 10 (Sudo 1.8.27), Ubuntu 20.04 (Sudo 1.8.31) và Fedora (Sudo 1.9.2). Các bản phân phối và hệ điều hành khác như MacOS của Sudo cũng có thể bị khai thác bởi lỗ hổng này.
Để giảm thiểu rủi ro bởi lỗ hổng, HPE khuyên người dùng nên cập nhật AirWave lên phiên bản 8.2.13.0 hoặc mới hơn. Cùng với đó, Aruba khuyến nghị rằng CLI và các giao diện quản lý dựa trên web cho AirWave nên được hạn chế ở một phân đoạn mạng chuyên biệt trong Layer 2/VLAN hoặc được kiểm soát bởi các chính sách tường lửa trong Layer 3 trở lên.
