(https://i.postimg.cc/Vs0Sjv0g/Linux-(1).png) (https://postimg.cc/9zVF2Wpw)
Los usuarios sin privilegios en un sistema Linux pueden obtener privilegios de root en cuestión de segundos utilizando dos exploits críticos del kernel recientemente revelados, para los cuales aún no hay parches disponibles. La proliferación de exploits del kernel pone en riesgo a la mayor parte de la infraestructura en la nube. Hasta que lleguen los parches, los investigadores de seguridad advierten a los usuarios que extremen las precauciones al instalar nuevo software o actualizar paquetes.
Hace apenas unas horas se revelaron otros dos exploits críticos del kernel de Linux que afectan a las principales distribuciones, sin que todavía haya parches ampliamente disponibles para ellos. Estos derivan de «Copy Fail», una vulnerabilidad crítica del kernel de Linux revelada la semana pasada, así como de otros errores.
El primer fallo es un exploit universal de escalada local de privilegios en Linux que encadena dos vulnerabilidades del kernel. Hyunwoo Kim (@v4bel), el investigador de seguridad que descubrió y reportó la vulnerabilidad, la bautizó como «Dirty Frag».
«Dirty Frag... permite obtener privilegios de root en todas las distribuciones principales. Esta vulnerabilidad tiene un impacto similar al de la anterior "Copy Fail". Dado que el embargo de información se ha roto, no existen parches ni identificadores CVE para estas vulnerabilidades», reconoció la lista de correo de seguridad de código abierto Openwall a través de X.
(https://i.postimg.cc/rswS7p7y/Openwall-Open-Source.png) (https://postimg.cc/hzNzdKSN)
El investigador intentó divulgar el error de manera responsable, pero alguien rompió el embargo con más de un mes de antelación, en un momento en que aún no existía ningún parche. Publicaron toda la información de inmediato para proporcionar a los defensores los datos que los atacantes podrían explotar.
Kim advierte que esta vulnerabilidad ha estado presente en Ubuntu, Red Hat Enterprise Linux, Fedora, openSUSE, CentOS, AlmaLinux y otras versiones de Linux durante los últimos nueve años.
Al igual que el «Copy Fail», este nuevo *exploit* engaña al núcleo del sistema para que sobrescriba la memoria, lugar donde se almacenan los archivos de sistema de solo lectura.
«Sin condiciones de carrera, sin pánico ante fallos, totalmente determinista», rezaba la publicación.
La vulnerabilidad es tan reciente que aún no se le ha asignado un identificador CVE (Vulnerabilidades y Exposiciones Comunes).
El mismo investigador también reveló un segundo error, bautizado como «Copy Fail 2: Electric Boogaloo», el cual constituye otro *exploit* similar —y disponible públicamente— de escalada de privilegios sin permisos de administrador, el cual ha sido probado en todas las principales distribuciones.
Las publicaciones anteriores de Kim sugieren que trabajó en Theori, una firma de investigación en ciberseguridad que fue la encargada de revelar el error original «Copy Fail», el cual causó una gran conmoción en el mundo cibernético la semana pasada.
Las vulnerabilidades del kernel son particularmente peligrosas, ya que permiten a los atacantes escapar de los contenedores y comprometer tanto al host completo como a todos los inquilinos que se ejecutan en él.
Advertencia: detenga las nuevas instalaciones de software y las actualizaciones no esenciales.
Dada la gravedad de la situación, algunos expertos instan a administradores y desarrolladores a abstenerse de realizar instalaciones o actualizaciones innecesarias.
«En este preciso momento, sería uno de los momentos más propicios para que un ataque a la cadena de suministro a través de NPM impacte con fuerza», explica Xe Iaso, educador técnico, en una entrada de blog.
«A excepción de los parches del kernel de Linux proporcionados por su distribución, creo que probablemente sea una buena idea establecer una moratoria en la instalación de nuevo software durante aproximadamente una semana».
Recientemente se han estado produciendo ataques masivos a la cadena de suministro, comprometiendo un repositorio tras otro —incluyendo Checkmarx, LiteLLM, Axios, entre otros— y propagando malware de auto-propagación. Los desarrolladores que descargan un paquete comprometido corren el riesgo de otorgar acceso de superusuario (root) inmediato a los atacantes.
Expertos en seguridad en Hacker News —el principal foro tecnológico de Silicon Valley— señalan que el modelo actual de dependencias de software crea una superficie de ataque enorme y, en gran medida, carente de auditoría.
«Esto siempre fue una pesadilla a punto de materializarse. La inmensa cantidad de paquetes y la consiguiente y vasta superficie de ataque para los ataques a la cadena de suministro constituyeron siempre un problema que, tarde o temprano, iba a estallarles en la cara a todos», comentó el usuario marcus_holmes.
Las herramientas de inteligencia artificial permiten a los atacantes convertir de inmediato las vulnerabilidades recién descubiertas en armas ofensivas.
¿Qué se puede hacer?
Dado que no existe ningún parche para Dirty Frag, como medida de mitigación temporal, Kim sugiere ejecutar un comando que desactive tres módulos del núcleo donde residen las vulnerabilidades: esp4, esp6 y rxrpc.
«Una vez que cada distribución incorpore el parche mediante *backporting*, actualice en consecuencia», señaló el investigador.
«Incluso en los sistemas donde se ha aplicado la mitigación de Copy Fail —ya conocida públicamente (la lista negra de algif_aead)—, su sistema Linux sigue siendo vulnerable a Dirty Frag».
Asimismo, parece que los responsables del mantenimiento del núcleo están trabajando a contrarreloj para incorporar las correcciones a todas las principales versiones del núcleo Linux que cuentan con soporte.
Fuente:
CyberNews
https://cybernews.com/security/two-critical-linux-kernel-exploits-threaten-cloud/