Grave vulnerabilidad afecta a muchas distribuciones Linux

Tux Logo
Estándar

Un grupo de investigadores en seguridad informática de Qualys han descubierto tres vulnerabilidades en Systemd, un popular sistema de inicio y administrador de servicios para la mayoría de las distribuciones Linux, que podrían permitir que los atacantes locales sin privilegios o los programas maliciosos obtener privilegios de de root en los sistemas afectados.

Las vulnerabilidades, a las que se les han asignado los códigos CVE-2018-16864, CVE-2018-16865 y CVE-2018-16866, en realidad residen en el servicio “systemd-journald” que recopila información de diferentes fuentes y crea registros de eventos al registrar la información del journal (diario).

Las vulnerabilidades, que fueron descubiertas e informadas por los investigadores de seguridad de Qualys, afectan a todas las distribuciones de Linux que utilizan systemd, entre ellas las más destacadas son Redhat y Debian y todas las derivadas de estas según los investigadores.

Sin embargo, algunas distribuciones de Linux como SUSE Linux Enterprise 15, openSUSE Leap 15.0, y Fedora 28 y 29 no se ven afectadas, ya que las aplicaciones que corren en su espacio de usuario se compilan con la opción de -fstack-clash-protection de GCC.

Las dos primeras vulnerabilidades son problemas de corrupción de memoria, mientras que el tercero es un problema de lectura fuera de los límites del systemd-journald que puede filtrar datos confidenciales de la memoria del proceso.

Los investigadores han creado con éxito una prueba de concepto que logra hacer uso de estas vulnerabilidades, que planean hacer público en un futuro próximo. Esto es lo que los investigadores ha declarado:

Desarrollamos un exploit para CVE-2018-16865 y CVE-2018-16866 que obtiene un acceso root local en 10 minutos en un i386 y 70 minutos en un amd64, en promedio.

La vulnerabilidad CVE-2018-16864 es similar a una anteriormente descubierta de Stack Clash que los investigadores de Qualys revelaron en el 2017 y que pueden ser explotados por malware o usuarios con pocos privilegios para escalar su permiso hasta root.

Según los investigadores, CVE-2018-16864 existía en la base de código de systemd desde abril de 2013 (systemd v203) y se hizo explotable en febrero de 2016 (systemd v230), mientras que CVE-2018-16865 se introdujo en diciembre de 2011 (systemd v38) y se hizo explotable en abril de 2013 (systemd v201).

Sin embargo, la tercera vulnerabilidad (CVE-2018-16866) se introdujo en la base de código de systemd recien en junio de 2015 (systemd v221), pero según los investigadores, se corrigió inadvertidamente en agosto del 2018.

Si usted amigo lector está utilizando un sistema Linux vulnerable, consulte las últimas actualizaciones de su respectiva distribución de Linux e instale los parches tan pronto como se publiquen.