Vulnerabilidad de ejecución remota de código en Linux afecta millones de dispositivos de red

Un investigador especializado en auditoría de base de datos ha reportado el hallazgo de una vulnerabilidad de ejecución remota de código en el sistema operativo OpenWrt que podría ser explotada para inyectar cargas maliciosas en un sistema afectado.   

Este es un sistema operativo basado en Linux empleado principalmente para el funcionamiento de dispositivos integrados y enrutadores de red. OpenWrt es empleado por compañías de múltiples ramos industriales en todo el mundo.

Una actualización implementada para abordar una vulnerabilidad anterior permitió que el administrador de paquetes ignore las sumas de verificación SHA-256 incrustadas en el índice de repositorio firmado, lo que permite a los actores de amenazas esquivar la verificación de integridad de los componentes .ipk descargados.

 Acorde a los expertos en auditoría de base de datos, los hackers deben enviar paquetes comprometidos desde un servidor web e interceptar la comunicación entre el dispositivo y la dirección downloads.openwrt.org para explotar la vulnerabilidad. En su defecto, un actor de amenazas podría tomar control del servidor DNS que el dispositivo objetivo empleó para hacer que downloads.openwrt.org se dirija a un servidor web malicioso.

De hecho, opkg en OpenWrt se ejecuta como root, lo que permite a los actores de amenazas obtener acceso de escritura a todos los sistemas de archivos para realizar una inyección de código arbitrario de forma remota mediante paquetes .ipk falsificados con una carga útil maliciosa.

Los expertos en auditoría de base de datos mencionan que completar el ataque también requiere que los hackers desplieguen un ataque Man-in-the-Middle (MiTM) para servir un índice de paquete válido y firmado; por ejemplo, uno obtenido de downloads.openwrt.org, además de uno o más paquetes .ipk falsificados que tengan el mismo tamaño que el especificado en el índice del repositorio mientras se invoca un comando `opkg install` en el sistema de la víctima.

La vulnerabilidad fue identificada como CVE-2020-7982 por el Common Vulnerability Scoring System (CVSS). Se solicita a los administradores de implementaciones afectadas instalar las actualizaciones requeridas a la brevedad. Los parches de seguridad se encuentran disponibles en las plataformas oficiales de los desarrolladores.

El Instituto Internacional de Seguridad Cibernética (IICS) recomienda consultar las plataformas oficiales de los desarrolladores de esta distribución para descargar las actualizaciones correspondientes y encontrar mayores detalles sobre estas fallas.