Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Tras "Dirty Pipe", Linux es ahora susceptible de "Dirty Creds"
DeShea Witcher
13 de octubre de 2022 - Vicepresidente de Marketing
Mientras muchos estaban fuera disfrutando de un merecido descanso, investigadores de seguridad, hackers con sombreros de todos los colores y agentes de inteligencia de todo el mundo se congregaron en la conferencia de seguridad Black Hat.
Como suele ocurrir, se revelaron algunas vulnerabilidades nuevas e interesantes.
Una de las vulnerabilidades que se elevó por encima del resto fue introducida por un estudiante de doctorado, Zhenpeng Li, y es una variación de "Dirty Pipe", que fue revelada a principios de este año - que a su vez recuerda a "Dirty Cow" de hace unos años.
Esta nueva vulnerabilidad fue bautizada como "Dirty Creds". El jurado aún no ha decidido si es útil nombrar vulnerabilidades concretas, pero así ha ocurrido.
Recordando "Dirty Pipe" (CVE-2022-0847), era posible sobrescribir (es decir, "ensuciar") el contenido de una caché en la memoria del kernel que a su vez sobrescribiría el contenido de un archivo, incluso cuando no había permisos de escritura asignados. Esto se basaba en explotar el mecanismo interno del kernel que lee (y escribe) en la caché, y - a través de algunas banderas cuidadosamente seleccionadas - esto haría que los datos elegidos por un atacante se escribieran en cualquier archivo arbitrario. Había algunas advertencias adicionales, pero el problema central fue rápidamente explotado para elevar privilegios en básicamente cualquier sistema Linux.
La nueva vulnerabilidad (CVE-2022-2588) abusa de otra funcionalidad del kernel y proporciona una forma de cambiar los privilegios con los que se ejecuta una tarea determinada, independientemente de los privilegios reales que tenga el usuario que la inició. Esto proviene de una situación de abuso de heap, donde se engaña al kernel para que escriba información diferente en la ubicación de memoria donde se almacenan las credenciales (estas son credenciales de tareas internas del kernel y credenciales de apertura de archivos, no las credenciales que tiene un usuario para iniciar sesión en un sistema).
Para tener éxito, un atacante tiene que esperar a que una combinación de credenciales privilegiadas y no privilegiadas se almacenen en un orden determinado en la memoria, pero -como esto también incluye las operaciones de apertura de archivos- el sistema se encontrará a menudo en un estado susceptible e incluso puede ser engañado para que se produzca esta situación si no sucede por sí sola.
Uno de los aspectos interesantes, y potencialmente más dañinos, de esta nueva vulnerabilidad es que el código para explotarla funciona sin cambios entre diferentes arquitecturas (no sólo x86_64). Como resultado, los sistemas que normalmente evaden la corrupción de memoria y problemas relacionados como éste (simplemente porque tienen diferentes estructuras de memoria) también están en riesgo. Esto supone un cambio con respecto a los exploits tradicionales, que tienen que codificarse a medida para cada arquitectura de CPU concreta para tener en cuenta las diferencias en la alineación de la memoria, el recuento de instrucciones u otras características más esotéricas.
El estado de los parches KernelCare Enterprise que protegen contra los "Dirty Creds" para las diferentes distribuciones y versiones de kernel afectadas puede seguirse en https://cve.tuxcare.com/live?cve=2022-2588.
Desgraciadamente, la vulnerabilidad no sólo se ha divulgado y debatido ampliamente, sino que ya se ha encontrado un código de explotación público, por lo que todos los sistemas deberían parchearse contra ella lo antes posible.
