CVE-2023-22809 : une faille sudo permet aux attaquants d'obtenir les privilèges root

Une vulnérabilité a été signalée dans sudo qui pourrait être exploitée par un attaquant à faibles privilèges pour obtenir un accès root sur un système affecté.

sudo est l'un des utilitaires les plus importants, les plus puissants et les plus couramment utilisés sur UNIX, Linux er macOS. Il permet à un administrateur système de déléguer l'autorité pour donner à certains utilisateurs (ou groupes d'utilisateurs) la possibilité d'exécuter certaines (ou toutes) commandes en tant que root ou un autre utilisateur tout en fournissant une piste d'audit des commandes et de leurs arguments.

La vulnérabilité concernant sudo, identifiée comme CVE-2023-22809, a été découverte par les chercheurs Matthieu Barjole et Victor Cutillas de Synacktiv dans la fonction sudoedit pour Linux qui pourrait permettre à un utilisateur malveillant avec des privilèges sudoedit de modifier des fichiers arbitraires.

« sudo utilise des variables d'environnement fournies par l'utilisateur pour permettre à ses utilisateurs de sélectionner l'éditeur de leur choix. Le contenu de ces variables étend la commande réelle passée à la fonction sudo_edit(). Cependant, ce dernier s'appuie sur la présence de l'argument — pour déterminer la liste des fichiers à éditer. L'injection d'un argument supplémentaire — dans l'une des variables d'environnement autorisées peut modifier cette liste et conduire à une élévation de privilèges en éditant tout autre fichier avec les privilèges de l'utilisateur RunAs. Ce problème survient après la validation de la politique sudoers », explique Synacktiv dans son avis.

Le CVE-2023-22809, qui affecte sudo 1.8.0 à 1.9.12p1 inclus, a déjà été corrigé dans sudo 1.9.12p2. Les versions de sudo antérieures à 1.8.0 construisent le vecteur d'argument différemment et ne sont pas affectées. 

Il est recommandé aux utilisateurs de mettre à jour leurs systèmes avec la dernière version.


Source :