Sudo脆弱性CVE-2021-3156を理解し、どのようにUnixおよびLinux特権管理が企業を保護できるかについて考える

脆弱性と改修

BeyondTrust社Blog “Understanding Sudo Vulnerability CVE-2021-3156 and How Privilege Management for Unix & Linux Can Protect Your Enterprise” January 28, 2021 by Colin Bretagneより

Qualysリサーチチームはヒープオーバフローの脆弱性、CVE-2021-3156を発見しました。これはsudoに存在し、どのような一般ユーザであってもパスワード無しでLinuxに対してroot権限を取得できるものです。たとえ “nobody” といったユーザであってもLinuxサーバにパスワード無しにアクセスが可能です。CVE-2021-3156脆弱性は2011年に既に存在し、2021年1月26日リリースの最新のバージョンsudo 9.5p2では修正されました。

この脆弱性について、主要な点を挙げます。

  • このセキュリティ問題は過去10年にわたり白日の下隠れていた。
  • このセキュリティ問題はパスワード無しでどのようなLinuxユーザであってもrootアクセスを得られることを可能にする。
  • リサーチ担当者は少なくとも3つの異なる方法でこの脆弱性を用いて、Ubuntu、Debian、Fedoraへのrootアクセスを多様なバージョンのsudoで確認した。
  • その他のOSやdistrosもリスクに晒されている可能性あり。

BeyondTrustはPrivilege Management for Unix &Linux(PMUL)ユーザ企業がsudoの代わりにpbrunを実行することを強く勧めます。pbrunはPMULのコマンドで、一般ユーザの権限を昇格させることで特権ユーザ用のコマンドの実行を可能にしますが、これはrootアカウントを必要としません。sudoは同様なことを実現する基本的なツールですがその機能は限定されています。大きな相違点はBeyondTrust pbrunはPMULソリューションのすべてのインスタンスと一緒に配布されていますが、sudoはオープンソースであり、全てのLinuxのバージョンと一緒に配布されています。BeyondTrustはこのバグのリスクを検証し、製品がsudoを利用して権限の昇格をしていないことからPrivilege Management for Unix & Linux がリスクにさらされてはいないことを確認しました。

Sudo脆弱性CVE-2021-3156をどのように排除するか

Privilege Management for Unix & Linux(PMUL)ユーザは以下のステップを実行することでCVE-2021-3156のリスクを取り除くことができます。

  • sudoを利用していないのであれば、sudoおよびsudoeditバイナリをLinuxサーバから削除します。
  • sudoの代わりにpbrunを利用します。
  • もしsudoをBeyondTrustソリューションと合わせて利用しているのであればsudo v1.9.5p2 最新バージョンにアップグレードします。

LinuxユーザでPrivilege Management for Unix & Linuxを利用していない企業には以下を推奨します。

  • 利用されていなければ、Linuxサーバからsudo および sudoedit バイナリを削除します。
  • OSベンダのテクニカルアドバイザの指示に従ってください()。
  • BeyondTrust社のPrivelege Management for Unix & Linux の利用をご検討ください。sudoに代わって企業システム全体で権限の昇格が可能です。
sudoの限界を理解する

sudoにはそれが持つメリットや有効活用ケースもありますが、利用環境が大きくなり、複雑になるにしたがってその限界が見えます。例えば:

  • sudo は効率的な一元化された操作や管理の機能を持ち合わせません。
  • sudo 統合された監査追跡のための先進的なレポート機能や分析機能を持ち合わせません。
  • sudo は大きなエンタープライズ環境では管理が複雑になります。
  • sudo は中央からのIDやグループ管理機能を提供しません。

sudoの限界を感じ移行を検討する企業には、権限管理ソリューションを被せて解決するところもあれば、全ての置き換えるケースもあります。BeyondTrust社はそのどちらのシナリオも対応します。

セキュリティに重きを置く企業がなぜSudoをBeyondTrust社のPrivilege Management for Unix & Linuxに置き換えるか?

UnixおよびLinuxに対する脅威を防御するために設計された BeyondTrust Privilege Management for Unix & Linux(PMUL) は進化したエンタープライズソリューションでクラウド移行にも威力を発揮します。sudoの替わって多くの利点を提供し、企業に以下の実現を可能にします:

  • クラウドやオンプレ環境で操作されたこと全てに対する、明確で詳細、かつ改ざん不可な監査追跡を可視性を持って提供します。それには中央化されたキー操作ログ、セッション録画、その他特権関連のイベントなどが含まれます。
  • スケーラビリティに限度はありません。BeyondTrustの大手展開例では130,000ものエンドポイントを保護対象とし、SaaSインフラに対する可視化と保護を提供しています。
  • Active Directory Bridgingと共に中央化したIDおよびグループ管理を提供し、共有またはローカルアカウントの管理の煩雑性から解放します。
  • ビジネス環境や、業界によってソリューションが適応するように構成可能です。例えば医療、小売り、金融、法律、エネルギー、クラウドなどです。
  • 現行のパスワード管理ソリューションとBeyondTrust Privilege Management for Unix & Linux の統合が可能です。
  • Splunkやその他のセキュリティ情報、イベント管理ソリューション(SIEM)に対して全てのイベントからの情報を送ることが可能です。
  • ファイルやポリシーの整合性を監視します。重要なポリシー、システム、アプリケーション、データファイルへの意図しない変更をポイントし、監査し、もし必要があれば変更を差し戻すことを容易にします。

Colin Bretagne,  BeyondTrust社 シニアプロダクトマネージャー

南アフリカ出身のColinは、3か国で働き暮らしてきました。 サポートエンジニアからテクニカルマネージャーに転向後、2009年にカナダのモントリオールに移転しました。Colinはハードウェアとソフトウェアの双方で豊富な経験があり、HP、Novell、Microsoft、Linux、およびPragmaticMarketingで認定を受けています。余暇にはラグビーや柔道を楽しみ、FAサッカーの審判の資格を持っています