BeyondTrust社Blog “Understanding Sudo Vulnerability CVE-2021-3156 and How Privilege Management for Unix & Linux Can Protect Your Enterprise” January 28, 2021 by Colin Bretagneより
Qualysリサーチチームはヒープオーバフローの脆弱性、CVE-2021-3156を発見しました。これはsudoに存在し、どのような一般ユーザであってもパスワード無しでLinuxに対してroot権限を取得できるものです。たとえ “nobody” といったユーザであってもLinuxサーバにパスワード無しにアクセスが可能です。CVE-2021-3156脆弱性は2011年に既に存在し、2021年1月26日リリースの最新のバージョンsudo 9.5p2では修正されました。
この脆弱性について、主要な点を挙げます。
- このセキュリティ問題は過去10年にわたり白日の下隠れていた。
- このセキュリティ問題はパスワード無しでどのようなLinuxユーザであってもrootアクセスを得られることを可能にする。
- リサーチ担当者は少なくとも3つの異なる方法でこの脆弱性を用いて、Ubuntu、Debian、Fedoraへのrootアクセスを多様なバージョンのsudoで確認した。
- その他のOSやdistrosもリスクに晒されている可能性あり。
BeyondTrustはPrivilege Management for Unix &Linux(PMUL)ユーザ企業がsudoの代わりにpbrunを実行することを強く勧めます。pbrunはPMULのコマンドで、一般ユーザの権限を昇格させることで特権ユーザ用のコマンドの実行を可能にしますが、これはrootアカウントを必要としません。sudoは同様なことを実現する基本的なツールですがその機能は限定されています。大きな相違点はBeyondTrust pbrunはPMULソリューションのすべてのインスタンスと一緒に配布されていますが、sudoはオープンソースであり、全てのLinuxのバージョンと一緒に配布されています。BeyondTrustはこのバグのリスクを検証し、製品がsudoを利用して権限の昇格をしていないことからPrivilege Management for Unix & Linux がリスクにさらされてはいないことを確認しました。
Sudo脆弱性CVE-2021-3156をどのように排除するか
Privilege Management for Unix & Linux(PMUL)ユーザは以下のステップを実行することでCVE-2021-3156のリスクを取り除くことができます。
- sudoを利用していないのであれば、sudoおよびsudoeditバイナリをLinuxサーバから削除します。
- sudoの代わりにpbrunを利用します。
- もしsudoをBeyondTrustソリューションと合わせて利用しているのであればsudo v1.9.5p2 最新バージョンにアップグレードします。
LinuxユーザでPrivilege Management for Unix & Linuxを利用していない企業には以下を推奨します。
- 利用されていなければ、Linuxサーバからsudo および sudoedit バイナリを削除します。
- OSベンダのテクニカルアドバイザの指示に従ってください(例)。
- BeyondTrust社のPrivelege Management for Unix & Linux の利用をご検討ください。sudoに代わって企業システム全体で権限の昇格が可能です。
関連記事 Unix & Linuxのためのサーバーセキュリティのベストプラクティス
sudoの限界を理解する
sudoにはそれが持つメリットや有効活用ケースもありますが、利用環境が大きくなり、複雑になるにしたがってその限界が見えます。例えば:
- sudo は効率的な一元化された操作や管理の機能を持ち合わせません。
- sudo 統合された監査追跡のための先進的なレポート機能や分析機能を持ち合わせません。
- sudo は大きなエンタープライズ環境では管理が複雑になります。
- sudo は中央からのIDやグループ管理機能を提供しません。
sudoの限界を感じ移行を検討する企業には、権限管理ソリューションを被せて解決するところもあれば、全ての置き換えるケースもあります。BeyondTrust社はそのどちらのシナリオも対応します。
セキュリティに重きを置く企業がなぜSudoをBeyondTrust社のPrivilege Management for Unix & Linuxに置き換えるか?
UnixおよびLinuxに対する脅威を防御するために設計された BeyondTrust Privilege Management for Unix & Linux(PMUL) は進化したエンタープライズソリューションでクラウド移行にも威力を発揮します。sudoの替わって多くの利点を提供し、企業に以下の実現を可能にします:
- クラウドやオンプレ環境で操作されたこと全てに対する、明確で詳細、かつ改ざん不可な監査追跡を可視性を持って提供します。それには中央化されたキー操作ログ、セッション録画、その他特権関連のイベントなどが含まれます。
- スケーラビリティに限度はありません。BeyondTrustの大手展開例では130,000ものエンドポイントを保護対象とし、SaaSインフラに対する可視化と保護を提供しています。
- Active Directory Bridgingと共に中央化したIDおよびグループ管理を提供し、共有またはローカルアカウントの管理の煩雑性から解放します。
- ビジネス環境や、業界によってソリューションが適応するように構成可能です。例えば医療、小売り、金融、法律、エネルギー、クラウドなどです。
- 現行のパスワード管理ソリューションとBeyondTrust Privilege Management for Unix & Linux の統合が可能です。
- Splunkやその他のセキュリティ情報、イベント管理ソリューション(SIEM)に対して全てのイベントからの情報を送ることが可能です。
- ファイルやポリシーの整合性を監視します。重要なポリシー、システム、アプリケーション、データファイルへの意図しない変更をポイントし、監査し、もし必要があれば変更を差し戻すことを容易にします。
Colin Bretagne, BeyondTrust社 シニアプロダクトマネージャー
南アフリカ出身のColinは、3か国で働き暮らしてきました。 サポートエンジニアからテクニカルマネージャーに転向後、2009年にカナダのモントリオールに移転しました。Colinはハードウェアとソフトウェアの双方で豊富な経験があり、HP、Novell、Microsoft、Linux、およびPragmaticMarketingで認定を受けています。余暇にはラグビーや柔道を楽しみ、FAサッカーの審判の資格を持っています。