Etek

Únase a ETEK en Linkedin y descubra contenido único sobre ciberseguridad.

Blogs

Nueva vulnerabilidad detectada sobre el kernel de Linux tendría más de 8 años de existencia

Escrito por: Alejandro Cifuentes Torres– Cyber SOC Expert

Uno de los encuentros de mayor relevancia para el sector de la ciberseguridad ofensiva fue llevado a cabo hace un par de semanas en Estados Unidos, se trata de Black Hack 2022, en esta oportunidad expertos debelaron múltiples metodologías de ataque y uno de ellos fue la denominada DirtyCred que permitiría escalar privilegios en sistemas operativos Linux.

De acuerdo con los expertos de la Universidad del Noreste de Estados Unidos, esta vulnerabilidad permitiría escalar a los máximos privilegios en diferentes distribuciones del sistema operativo Linux gracias a la explotación de las cabeceras de datos donde se alojan las credenciales de los usuarios privilegiados, utilizándolas para apropiarse de los permisos que estos usuarios tienen, para posteriormente ser usados por parte de usuarios sin privilegios.

Marcada con el CVE-2022-2588 esta vulnerabilidad en vez de sobrescribir cualquier campo de la cabecera del kernel, abusa de la capacidad de reusó y de esta manera invoca los permisos de otros usuarios para la ejecución de tareas de altos privilegios.

 

Aunque en la conferencia se presentó la PoC (proof of concept) donde se mostraba la explotación de esta debilidad en las medidas de protección del kernel para segmentar correctamente los permisos, se tenían que dar unas condiciones muy especiales y los sistemas debían tener algunos componentes vulnerables a otro tipo de

configuraciones.

Es importante indicar que esta vulnerabilidad trabaja su base con una anterior vulnerabilidad descubierta en el kernel de Linux marcadas como el CVE-2021-4154 la cual ya ha sido parcheado en el kernel de Linux, pero los investigadores indican que “el exploit funciona en la mayoría de los kernels de Centos 8 superiores a Linux-4.18.0-305.el8 y la mayoría de los kernels de ubuntu 20 superiores a 5.4.0-87.98 y 5.11.0-37.41.”.

El código de la explotación puede ser ubicado en la siguiente URL https://github.com/markakd/DirtyCred donde también se puede observar la presentación realizada en el Black Hack 2022 de Estados Unidos.

Recomendaciones:

 Aunque ya se mencionó que una de estas debilidades fue corregida en las diferentes distribuciones de Linux, es importante realizar un correcto aislamiento de los objetos que típicamente se aíslan basados en tipos y no en privilegios, siendo esta segunda opción (privilegios) la más recomendada, dicho ajuste se puede realizar sobre la memoria virtual utilizando la utilidad vmalloc.

Fuentes:

Info@etek.com

Colombia                          Perú                         India

+57 (1) 2571520        +51 (1) 6124343          +91-9873451221



LinkedIn
Facebook
Twitter
Print
Email

Apply Now