Varias distribuciones de Linux están emitiendo actualizaciones de seguridad para las versiones del sistema operativo que todavía utilizan una rama de kernel más antigua. Todo ello después de que recientemente saliera a la luz que un error de memoria leve era en realidad mucho peor. Este error ha sido categorizado recientemente como un fallo de seguridad. El error original fue descubierto por Michael Davidson, un empleado de Google, en abril de 2015 y se corrigió en el kernel de Linux 4.0.
Fallo en el kernel de Linux
Un análisis inicial del fallo no exploró la posibilidad de que se utilizara como un vector de ataque, por lo que el problema era una de las muchas correcciones de errores incluidas en el recién lanzado kernel de Linux 4.0.
Los encargados de mantener el kernel de Linux también portaban el parche a la antigua rama 3.x con el lanzamiento del kernel Linux 3.10.77. Pero debido a que el problema había sido catalogado como un bugfix menor, el error no estaba incluido en muchas versiones LTS de Linux.
Los lanzamientos a largo plazo son versiones de SO de Linux desplegadas en entornos empresariales y de alta disponibilidad. En la mayoría de los casos reciben actualizaciones de seguridad, para no molestar a administradores de sistema con actualizaciones constantes que causan tiempos de inactividad u otros inconvenientes de producción.
Esto significa que mientras que la mayoría de los usuarios de escritorio Linux que ejecutan un kernel reciente no se ven afectados por esta vulnerabilidad, ya que han sido resueltos hace mucho tiempo, algunos sistemas críticos del servidorpodrían seguir siendo vulnerables si siguen ejecutando un núcleo 3.x antiguo como parte de una distribución Linux LTS.
“Todas las versiones de CentOS 7 antes de 1708 (lanzado el 13 de septiembre de 2017), todas las versiones de Red Hat Enterprise Linux 7 antes de 7.4 (lanzado el 1 de agosto de 2017) y todas las versiones de CentOS 6 y Red Hat Enterprise Linux 6 son explotables”, dijo el equipo de Qualys en un comunicado publicado hoy después de que se aseguró de informar a todas las distribuciones principales de Linux de la naturaleza real del error hace unos meses.
Análisis posterior
Las implicaciones de seguridad han salido a la luz recientemente después de un análisis posterior del equipo de Qualys. Los investigadores descubrieron que un atacante podría explotar el error del kernel 2015 para elevar los privilegios del código de un atacante.
El error ha recibido el indicador de seguridad CVE-2017-1000253 y una puntuación de severidad CVSSv3 de 7,8 a 10, lo cual es bastante alto.
Los atacantes pueden explotar el error a través de archivos ELF maliciosos construidos como ejecutables independientes de posición (PIE). Cuando el kernel de Linux carga un binario malicioso en la memoria, el kernel no asigna suficiente memoria.
Esto termina en una situación en la que “parte del segmento de datos de la aplicación se asignará sobre el área de memoria reservada para su stack, pudiendo resultar en corrupción de la memoria”.
Inicialmente, quienes se encargan de mantener el kernel pensaron que esto causaría un fallo de memoria normal y simple, pero Qualys descubrió que “un usuario local sin privilegios con acceso a binario PIE de SUID (o de otro modo privilegiado) podría usar este fallo para escalar sus privilegios en el sistema”.
Distribuciones Linux como Red Hat, Debian y CentOS, han publicado actualizaciones para solucionar el error de las distribuciones LTS más antiguas donde el núcleo 3.x todavía está en uso.
Fuente:https://www.redeszone.net/2017/09/28/califican-error-del-kernel-linux-fallo-seguridad-tras-dos-anos/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad