Dos graves vulnerabilidades en Linux: escalada de privilegios y puerta trasera en el kernel

Exploits recientes amenazan la seguridad de sistemas Linux e instan a aplicar parches de inmediato.

En esta lluviosa mañana de sábado, os damos los buenos días con dos vulnerabilidades descubiertas en uno de los sistemas operativos más usados y de código abierto.

Escalada de privilegios

Un exploit de prueba de concepto para Linux ha sido publicado, según el investigador de errores que lo desarrolló, permitiendo la escalada de privilegios en sistemas vulnerables con versiones de kernel entre 5.14 y 6.6.14. La vulnerabilidad, identificada como CVE-2024-1086 con una calificación de 7.8 sobre 10 en términos de gravedad de CVSS, otorga acceso de root a través de una explotación relativamente sencilla, lo que podría ser aprovechado por insiders malintencionados o malware existente para causar daños adicionales y problemas en el sistema.

En su análisis, Notselwyn detalla los pasos para obtener un shell de root universal en casi todos los kernels de Linux afectados usando CVE-2024-1086. Esto incluye un método particularmente interesante que se basa en una técnica de explotación universal anterior del kernel de Linux, denominada Dirty Pagetable, que implica abusar de errores basados en la pila para manipular tablas de páginas y obtener control no autorizado sobre la memoria del sistema y, por lo tanto, su funcionamiento.

El último método ha sido llamado Dirty Page directory, y Notselwyn dice que permite acceso de lectura/escritura ilimitado y estable a todas las páginas de memoria en un sistema Linux, lo que le daría a un atacante control completo sobre el sistema. Notselwyn también ha compartido el código fuente de un PoC de exploit, que es fácil ejecutar.

Se aconseja a los usuarios de Debian, Ubuntu, Red Hat, Fedora y otras distribuciones de Linux que apliquen los parches de seguridad correspondientes de manera urgente para mitigar este riesgo.

Puerta trasera en el kernel

Además, parece que se descubrió una puerta trasera en una utilidad ampliamente utilizada en Linux, conocida como xz Utils, que podría comprometer las conexiones SSH cifradas. Aunque la detección temprana ha evitado su inclusión en versiones de producción, y parece ser que se había trabajado con el autor de «la supuesta puerta trasera» en el upstream xz/liblzma que compromete el servidor ssh, según este foro. Aun así su existencia plantea preocupaciones de seguridad.

La utilidad de compresión xz Utils introdujo el código malicioso en las versiones 5.6.0 y 5.6.1, según Andrés Freund, el desarrollador que lo descubrió. Aunque no se tienen informes de que esas versiones se hayan incorporado a lanzamientos de producción para distribuciones de Linux importantes, tanto Red Hat como Debian informaron que las versiones beta recientemente publicadas usaban al menos una de las versiones con puerta trasera, específicamente en Fedora Rawhide y las distribuciones de prueba, inestables y experimentales de Debian. También se vio afectado un lanzamiento estable de Arch Linux. Sin embargo, esa distribución no se utiliza en sistemas de producción.

«Realmente no está afectando a nadie en el mundo real, pero eso es solo porque fue descubierto temprano debido a la descortesía del actor malicioso. Si no se hubiera descubierto, habría sido catastrófico para el mundo».
dijo Will Dormann, analista de vulnerabilidades senior de la firma de seguridad Analygence.

No fue una puerta trasera en el kernel. La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) y la comunidad de código abierto están respondiendo a los informes sobre código malicioso incrustado en las versiones 5.6.0 y 5.6.1 de XZ Utils, una biblioteca de compresión de datos, puede estar presente en diversas distribuciones de Linux. Esta vulnerabilidad permitía el acceso no autorizado a sistemas comprometidos, pero no estaba relacionada con el kernel del sistema operativo Linux. La vulnerabilidad se clasificó como CVE-2024-3094 y afectó a XZ Utils, no al kernel del sistema operativo.

Los investigadores instan a los usuarios a verificar si sus sistemas están afectados y a tomar medidas correctivas de inmediato. Se enfatiza la importancia de la vigilancia y la aplicación de parches para mantener la seguridad de los sistemas Linux en todo momento.

Más información:

• Escalada de privilegios: https://www.theregister.com/2024/03/29/linux_kernel_flaw/
• https://nvd.nist.gov/vuln/detail/CVE-2024-1086
• https://github.com/Notselwyn/CVE-2024-1086
• https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f342de4e2f33e0e39165d8639387aa6c19dff660
• Debian: https://security-tracker.debian.org/tracker/CVE-2024-1086
• Ubuntu: https://ubuntu.com/security/CVE-2024-1086
• Red Hat: https://bugzilla.redhat.com/show_bug.cgi?id=2262126
• Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7LSPIOMIJYTLZB6QKPQVVAYSUETUWKPF/
• https://pwning.tech/nftables/
• https://yanglingxi1993.github.io/dirty_pagetable/dirty_pagetable.html
• Puerta trasera en el kernel: https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/
• https://www.openwall.com/lists/oss-security/2024/03/29/4
• Backdoor en el upstream xz/liblzma que compromete el servidor ssh: https://news.ycombinator.com/item?id=39865810
• https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
• https://lists.debian.org/debian-security-announce/2024/msg00057.html
• https://github.com/orgs/Homebrew/discussions/5243#discussioncomment-8954951
• https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

• View all posts by Hispasec →
• Blog