Escalonamento de privilégios: possível uso do comando sudo como vetor de escalonamento de privilégios (CVE-2021-3156)

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando detectam uma possível ameaça nos recursos da nuvem. Para conferir uma lista completa das descobertas de ameaças disponíveis, consulte o Índice de descobertas de ameaças.

Visão geral

sudo ou sudoedit foi executado por um usuário sem privilégios com argumentos de linha de comando -s ou -i e um argumento que termina com ``. Esta é uma tentativa de explorar a vulnerabilidade CVE-2021-3156 para elevar os privilégios do usuário ao acesso de nível raiz.

Como responder

Para responder a essa descoberta, faça o seguinte:

Analisar os detalhes da descoberta

1. Abra a descoberta Privilege Escalation: Sudo Potential Privilege Escalation (CVE-2021-3156), conforme instruído em Como verificar descobertas. Analise os detalhes nas guias Resumo e JSON.

2. Na guia Resumo, confira as informações nas seções a seguir.

   • O que foi detectado, especialmente os seguintes campos:
     • Binário do programa: o caminho absoluto do binário executado
     • Argumentos: os argumentos transmitidos durante a execução do binário.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome completo do recurso afetado do Cloud Run.

3. Na guia JSON, observe os campos a seguir.

   • resource:
     • project_display_name: o nome do projeto que contém o recurso afetado do Cloud Run.
   • finding:
     • processes:
       • binary:
       • path: o caminho completo do binário executado.
     • args: os argumentos fornecidos quando o binário foi executado.

4. Identifique outras descobertas que ocorreram em um momento semelhante para o contêiner afetado. As descobertas relacionadas podem indicar que essa atividade era maliciosa, em vez de uma falha em seguir as práticas recomendadas.

5. Revise as configurações do contêiner afetado.

6. Verifique os registros do contêiner afetado.

Pesquisar métodos de ataque e resposta

1. Revise as entradas do framework MITRE ATT&CK para esse tipo de descoberta: Escalonamento de privilégios.
2. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Implementar a resposta

Para recomendações de resposta, consulte Responder a descobertas de ameaças do Cloud Run.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o Índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.