jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Sudo and Sudo Caching

Sudo and Sudo Caching

Threat-actor 3 min lectura
Fecha
26 May 2026
Actor
-
Tipo
Threat-actor
Pais
United States
Sector
Software
Confianza
medium
44
Prioridad analitica
Baja

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

0IOCs
1TTPs
N/DActor
United StatesPais

Sudo and Sudo Caching

Descripción de la Tecnica

T1548.003 es una técnica de ciberseguridad relacionada con el uso de sudo (Superuser Do) en sistemas Linux y macOS para ejecutar comandos con privilegios elevados. Los atacantes pueden aprovechar la funcionalidad de sudo para delegar autoridades a usuarios o procesos, permitiéndoles realizar acciones que normalmente solo están permitidas al administrador del sistema.

Esta técnica está documentada en el MITRE ATT&CK como un patrón de ataque (attack-pattern) bajo la categoría de "Elevate Privilege". Los adversarios pueden usar la sudoers file para crear permisos no autorizados o explotar comportamientos de caching en el sistema.

Como Funciona

El uso de sudo permite a los usuarios ejecutar comandos con privilegios del superusuario. Sin embargo, cuando se configura incorrectamente la sudoers, un atacante puede aprovecharlo para: - Elevar privilegios: Ejecutar comandos como root o con permisos más altos que su cuenta normal. - Caching de sudo: Algunas implementaciones de sudo guardan la sesión de usuario actual en memoria, lo que puede permitir a un atacante usar esa información para acceder a privilegios no autorizados.

Los adversarios pueden aprovechar estos mecanismos para: - Cambiar el contexto de ejecución de procesos. - Inyectar código malicioso en comandos que se ejecutan con privilegios elevados.

Actores que la Utilizan

Esta técnica es utilizada por actores con objetivos de: - Comprometer sistemas mediante el uso de privilegios no autorizados. - Elevar nivel de acceso para realizar operaciones críticas (como modificar archivos de configuración o instalar software malicioso). - Detección evasiva, ya que el uso de sudo puede ser un indicador de actividad sospechosa.

Detección

La detección de T1548.003 requiere monitorear: - Uso anómalo de sudo en sistemas con múltiples usuarios o grupos. - Cambios inusuales en el archivo /etc/sudoers o archivos relacionados (como /etc/sudoers.d/). - Sesiones de sudo no autorizadas que se ejecutan con frecuencia o bajo usuarios no esperados.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar el riesgo asociado a T1548.003, se recomienda: - Revisar regularmente los permisos del archivo /etc/sudoers y asegurar que solo usuarios con autoridad administrativa puedan modificarlo. - Limitar el uso de sudo a comandos específicos y evitar la ejecución de scripts no verificados. - Monitorear logs de sistema para detectar patrones inusuales de uso de sudo.

Diamond Model

Adversary
No atribuido
Victim
Sudo and Sudo Caching
United States
Capability
Threat-actor
1 TTPs MITRE
Infrastructure
Sin infraestructura confirmada

Referencias y enlaces

→ Mas incidentes en United States → Buscar en Google News → Analizar en VirusTotal → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes

FortiBleed: exposición masiva de credenciales Fortinet y guía CTI de respuesta19 Jun 2026 · campaign PJ Daly Contracting19 Jun 2026 · qilin mlit.com.my UPDATE-FULL DATA DUMP 10GB19 Jun 2026 · stormous June 2026 Stealer Logs18 Jun 2026 · breach CFGI18 Jun 2026 · breach Berkadia18 Jun 2026 · breach Infinite Campus18 Jun 2026 · breach Horizon Family Medical Group18 Jun 2026 · incransom