hello bro kembali lagi bersma blog-exploit.info tentu nya, yah untuk artikel kali ini saya akan memberi info tentang kerentanan sudo edit versi > 1.8 dan <1.9.12p2.
Baru-baru ini, kerentanan keamanan baru ditemukan dan dilaporkan oleh peneliti keamanan, bernama CVE-2023–22809.
Pada artikel ini, kami akan membahas dampak, penyebab, dan kemungkinan solusi untuk kerentanan keamanan ini.
SEBELUM LANJUT, KE TAHAP BERIKUT NYA MARI KITA CARI TAU APA ITU SUDO ?
DI KUTIP DARI WIKIPEDIA MENGENAI SUDO ADALAH,
sudo (/ˈsuːduː/[3] atau /ˈsuːdoʊ/[3][4]) adalah suatu program untuk sistem operasi komputer sejenis Unix yang memungkinkan para pengguna untuk menjalankan program-program hak keamanan pengguna lain, secara default merupakan “superuser”.[5] Asalnya merupakan singkatan “superuser do“[6] karena sudo pada versi-versi yang lebih lama didesain untuk menjalankan program-program hanya sebagai superuser. Namun, versi-versi berikutnya menambah dukungan untuk menjalankan perintah-perintah bukan hanya sebagai superuser tetapi juga sebagai pengguna (restricted) lain, sehingga juga umumnya dikembangkan sebagai “substitute user do“.[7][8] Meskipun kasus terakhir itu mencerminkan fungsionalistas saat ini secara lebih akurat, sudo masih sering disebut “superuser do” karena sering digunakan untuk tugas-tugas administratif.
sudo merupakan sebuah perintah dalam command-line Linux. Apabila anda memiliki akses root, maka sudo akan melakukan perintah sebagai superuser. Pengguna sudo dan perintah-perintah yang dapat mereka pergunakan terdapat pada file konfigurasi, /etc/sudoers. Apabila seorang pengguna yang tidak berhak mencoba menjalankan perintah, sudo akan memberitahu administrator melalui e-mail. Secara default, pemberitahuan peringatan ini akan disimpan di akun root.Pengguna yang mencoba menjalankan perintah akan diminta mengisikan password.Setelah terotentifikasi, sudo akan membuat timestamp untuk pengguna.Selama 5 menit, pengguna akan dapat mengeksekusi perintah-perintah, sampai di akhir menit ke 5 akan diminta untuk mengisikan password. Grace period ini dapat di overwrite dengan mengubah setting pada file /etc/sudoers.
mari kita eksekusi
Sekarang kita telah membahas apa itu sudo, kita bisa masuk ke detail lebih lanjut tentang apa yang bisa kita lakukan untuk mengeksploitasi kerentanan.
1. Langkah 1
Periksa versi sudo Anda
command > sudo –version / sudo -V
jika versi sudo ≥ 1.8 dan <1.9.12p2.
maka kemungkinan besar akan bisa untuk di exploit karna kita tau di sini kerentanan exploit ini berada di versi tersebut
2. Langkah 2
Anda harus memiliki akses sudo terbatas ke setidaknya satu file dari sistem. Ada banyak kasus penggunaan ketika pengguna memiliki akses terbatas ke file yang memerlukan akses root, tetapi mereka harus dibatasi hanya pada file itu.
Di lingkungan yang saya uji, saya memiliki akses sudoedit untuk pengguna test,hanya untuk /etc/motdfile tersebut, jadi file /etc/sudoers saya berisi aturan ini:
uji SEMUA = ( SEMUA : SEMUA ) NOPASSWD: sudoedit / etc / motd Jika saya mencoba mengedit file lain dengan sudo saya mendapatkan:
Tapi, jika saya menjalankan perintah berikut:
EDITOR = “vi — /etc/passwd” sudoedit /etc/motd
File /etc/passwdakan terbuka, dan sekarang kita dapat mencari baris dengan nama pengguna kita (dalam kasus saya ini adalah test)
Dan cukup ganti id pengguna & grup, dari 1001 menjadi 0, seperti yang Anda lihat di bawah
Simpan file lalu tutup sesi dan masuk kembali ke pengguna kami.
Voila! Kami login sebagai root.
3. Solusi
Untuk mengurangi kerentanan ini, Anda harus memperbarui sudo ke versi 1.9.12p2 atau yang lebih baru atau Anda dapat menambahkan baris berikut di file sudoers:
Default! sudoedit env_delete+= “SUDO_EDITOR VISUAL EDITOR”
Ini akan menghapus variabel lingkungan yang menyebabkan kerentanan.
dan untuk tools sudo edit saya mengambil dari sini…..
sorce > https://medium.com/@dev.nest/how-to-bypass-sudo-exploit-cve-2023-22809-vulnerability-296ef10a1466
dan cukup segitu dari saya 🙂
Test