Underc0de - La Casa de los Informáticos

Se han descubierto dos vulnerabilidades críticas de divulgación de información en Apport y systemd-coredump, los principales controladores de volcado de memoria utilizados en sistemas operativos Linux como Ubuntu, Red Hat Enterprise Linux (RHEL) y Fedora. El hallazgo ha sido reportado por la Unidad de Investigación de Amenazas (TRU) de Qualys, y ambas fallas representan riesgos significativos para la seguridad de la información confidencial en entornos Linux.

CVE-2025-5054 y CVE-2025-4598: Riesgos de condición de carrera

Las vulnerabilidades, identificadas como CVE-2025-5054 y CVE-2025-4598, son fallas de tipo race condition que podrían ser explotadas por un atacante local para acceder a datos sensibles. Estas condiciones se presentan durante el manejo de fallos y volcados de núcleo, permitiendo al atacante obtener información de memoria privilegiada, como contraseñas encriptadas o configuraciones críticas del sistema.

Detalles técnicos de las vulnerabilidades:

• CVE-2025-5054 (CVSS 4.7): Afecta al paquete Apport hasta la versión 2.32.0 en sistemas basados en Ubuntu. La vulnerabilidad permite la filtración de información sensible mediante la reutilización de PID y la manipulación de espacios de nombres (namespaces).
• CVE-2025-4598 (CVSS 4.7): Presente en systemd-coredump. Permite a un atacante provocar el fallo de un proceso SUID, reemplazarlo con un binario no privilegiado y así obtener acceso al volcado de memoria del proceso original. Esto incluye la posible exposición del archivo /etc/shadow, que contiene los hashes de contraseñas de los usuarios.

CitarSUID (Set User ID) es un permiso especial en Linux que permite a los usuarios ejecutar un programa con los privilegios del propietario del archivo, generalmente root.

Impacto en sistemas Linux: Ubuntu, Red Hat, Fedora y más

De acuerdo con Red Hat, CVE-2025-4598 ha sido clasificada con una severidad moderada, debido a la alta complejidad necesaria para desarrollar un exploit funcional. El atacante debe cumplir múltiples condiciones, como provocar un fallo preciso y manipular el PID correctamente, además de tener acceso a una cuenta local sin privilegios.

Canonical, por su parte, señaló que Ubuntu no se ve afectado por CVE-2025-4598 por defecto, ya que no incluye systemd-coredump a menos que se instale manualmente. En el caso de Debian, los sistemas también están protegidos por defecto por la misma razón.

Mitigaciones y medidas de seguridad recomendadas

Para reducir el riesgo, Red Hat recomienda desactivar los volcados de núcleo para binarios SUID ejecutando el siguiente comando como root:


echo 0 > /proc/sys/fs/suid_dumpable
Este parámetro del kernel controla si los procesos SUID pueden generar volcados de núcleo. Establecerlo en 0 desactiva esta función, evitando posibles filtraciones de memoria.

Sin embargo, Red Hat advierte que esta mitigación también desactiva la capacidad de analizar fallas en binarios SUID, lo que puede dificultar el debugging de errores en entornos de producción.

Código de prueba de concepto (PoC) y posibles ataques

Qualys ha desarrollado un código de prueba de concepto (PoC) para ambas vulnerabilidades, demostrando cómo un atacante puede explotar los volcados de memoria de procesos críticos, como unix_chkpwd, para extraer hashes de contraseñas desde /etc/shadow.

"La explotación de vulnerabilidades en Apport y systemd-coredump puede comprometer seriamente la confidencialidad de un sistema Linux", explicó Saeed Abbasi, gerente de producto de Qualys TRU.

Las consecuencias de un ataque exitoso incluyen:

• Filtración de credenciales y datos sensibles
• Tiempo de inactividad del sistema
• Pérdida de reputación
• Incumplimiento de normativas como GDPR o HIPAA

Recomendaciones para proteger entornos Linux corporativos

• Aplicar parches de seguridad tan pronto como estén disponibles para Apport y systemd-coredump.
• Deshabilitar los volcados de núcleo SUID en entornos donde no sean esenciales.
• Implementar monitoreo proactivo para detectar actividades sospechosas relacionadas con procesos SUID.
• Endurecer la seguridad de acceso local, limitando el uso de cuentas sin privilegios y restringiendo el acceso físico y remoto a los servidores.

En fin, las vulnerabilidades CVE-2025-5054 y CVE-2025-4598 en Apport y systemd-coredump destacan la importancia de reforzar la seguridad de los controladores de volcado de memoria en Linux. Aunque su explotación requiere cierto nivel técnico y acceso local, los riesgos asociados a la divulgación de información sensible son altos. Administradores de sistemas Linux deben actuar rápidamente para mitigar estas amenazas, implementar configuraciones seguras y mantenerse al día con las actualizaciones de seguridad distribuidas por los fabricantes.

Fuente: https://thehackernews.com/