Pourquoi la vulnérabilité de la commande Sudo pourrait mener à des menaces internes ?
Plus précisément, tant que les utilisateurs avaient le privilège d'exécuter la commande sudo (c'est-à-dire d'exécuter sudo avec un ID utilisateur arbitraire), ils pouvaient également exécuter des commandes en tant que root, même si root n'était pas autorisé comme paramètre d'environnement. Alors que les intrus externes auraient besoin de privilèges accrus pour exploiter ce bogue, les utilisateurs privilégiés internes et les développeurs seniors de la plupart des entreprises ont déjà des privilèges sudo dans de nombreux environnements.
Joe Vennix d'Apple Information Security a trouvé et analysé le bug, si vous voulez plus de détails techniques.)
L'état actuel de la vulnérabilité du Sudo
Heureusement, la récente correction apportée par la communauté en charge du développement Linux a éliminé cette faille.
Cela dit, cela nous fait certainement réfléchir à l'importance de la surveillance de l'activité des utilisateurs et des données, en particulier pour les utilisateurs privilégiés dans des environnements comme Linux et UNIX. Nos clients ont toujours voulu avoir une grande visibilité sur les utilisateurs des machines Linux et UNIX. Les risques liés à la sécurité de l'information peuvent découler d'erreurs imprudentes sur des serveurs sensibles ayant une incidence sur l'entreprise. Il peut également y avoir des modifications malveillantes de la propriété intellectuelle ou de systèmes critiques, et les initiés qui savent ce qu'ils font peuvent souvent masquer avec succès leur véritable identité.
Prenez, par exemple, les administrateurs d'applications ou les pros de DevOps, qui ont souvent besoin de privilèges élevés pour pousser de nouvelles versions ou revenir à une branche plus ancienne du code source. Ces employés ont des privilèges importants dont on peut abuser. De même, un administrateur mécontent quittant l'entreprise après avoir été refusé à des promotions, pourrait emporter la propriété intellectuelle avec lui à son prochain emploi ou exécuter des scripts malveillants en quittant alors la société. L'essentiel : Les utilisateurs privilégiés ont besoin d'un contrôle supplémentaire de leurs actions, et pas seulement de leur accès, en raison de leurs privilèges élevés.
Indicateurs de menace interne à surveiller
Alors, comment riposter ? Parmi les indicateurs de risque de menace interne les plus couramment utilisés par ObserveIT, on peut citer l'installation d'outils suspects (anti-sécurité, piratage ou autres logiciels malveillants) et la modification des configurations de serveur pour permettre un partage et une accessibilité plus ouverts. Celles-ci se déroulent souvent dans des environnements de serveurs Linux et UNIX, et fournissent une bonne raison d'utiliser une plate-forme de gestion des menaces internes dédiée comme ObserveIT.