ClickCease Se están entregando parches para CVE-2021-33909

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Se están entregando parches para CVE-2021-33909 [ACTUALIZACIÓN #3 27/07]

21 de julio de 2021 - Equipo de RRPP de TuxCare

CVE-2021-33909 fue revelado el 20 de julio. Describe una vulnerabilidad en la capa del sistema de archivos de Linux que puede conducir a la elevación de privilegios locales cuando se explota con éxito. El código vulnerable fue aparentemente introducido en un commit que data de julio de 2014 (Linux 3.16). Todas las distribuciones que ejecutan esta o cualquier versión posterior son vulnerables a este problema, con código de prueba de concepto para varias distribuciones comunes ya creado.

KernelCare de TuxCare está ultimando los parches para todas las distribuciones compatibles y afectadas, y los suscriptores empezarán a recibirlos muy pronto.

[ACTUALIZACIÓN] Ya se están distribuyendo parches para las siguientes distribuciones de Linux:

  • CloudLinux 6h y 7
  • OEL 6, 7 y 8
  • RHEL 6, 7 y 8
  • CentOS 6, 6-plus, 7 y 8
  • AlmaLinux 8
  • Ubuntu Bionic, Focal y Xenial
  • SL 6
  • openVZ

[ACTUALIZACIÓN # 2] Las siguientes distribuciones también tienen parches que se entregan ahora:

  • CloudLinux 8
  • Debian 8, 9
  • OEL6-uek4, OEL7-uek4, OEL7-uek5, OEL7-uek6, OEL8-uek6

[ACTUALIZACIÓN #3] Las siguientes distribuciones también se están entregando ahora:

  • Debian 10, Debian 10-nube

Profundicemos en esta vulnerabilidad para entender cómo representa un camino explotable para hacer root básicamente a cualquier distribución.

Desde el punto de vista de un atacante, esto se puede explotar creando una estructura de directorios (muy) profunda, y luego montándola y borrándola. Estas acciones permiten escribir un valor específico dentro de un búfer del kernel que, de otro modo, sería inaccesible para los usuarios normales.

Así que, en este punto, el ataque sólo tiene un efecto de corrupción de memoria. Para convertir esto en una elevación de privilegios, el atacante necesitaría cargar una pieza de código aparentemente inocente y especialmente diseñada. Por ejemplo, un filtro BPF (un lugar especialmente activo donde se encuentran vulnerabilidades) podría pasar todas las comprobaciones normales realizadas por el Kernel pero estar diseñado de tal forma que, cuando se produjera la corrupción de memoria, cambiara ligeramente el código del filtro BPF. Esto le permitiría llamar a funciones específicas del Kernel, normalmente no accesibles al código de un usuario normal.

Aunque el método de ataque es complicado, ya está disponible el código PoC, que proporciona un exploit llave en mano para esta vulnerabilidad. Puedes ver el exploit PoC en acción aquí. Se espera que este código, o alguna variación del mismo, llegue a los marcos de explotación disponibles en los próximos días o semanas, haciendo de este un camino trivialmente accesible para lograr la raíz en un sistema vulnerable.

En el Kernel, el código que conduce a este comportamiento puede rastrearse hasta una variable entera de 64 bits sin signo específica que se transforma, a través de una ruta de código específica, en un entero de 32 bits. Un valor que podría caber en la variable original de 64 bits causará entonces un desbordamiento en la variable de menor tamaño, lo que desencadenará el problema.

Según el informe CVE, el fallo fue introducido por el commit 058504ed ("fs/seq_file: fallback to vmalloc allocation") en julio de 2014 y ha estado presente en todas las versiones del kernel desde la 3.16. Distribuciones como Ubuntu 20.04, 20.10 y 21.04, así como Debian 11 y Fedora 34, ya han demostrado ser vulnerables, y se espera que el resto de distribuciones que ejecuten cualquier versión del kernel de los últimos 7 años también sean susceptibles a esta vulnerabilidad.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín