20 jun 2017

Stack Clash: vulnerabilidad grave en sistemas *Nix y *BSD

Stack Clash es una vulnerabilidad que afecta a todo tipo de sistemas operativos Linux, Unix, Solaris, OpenBSD y FreeBSD que puede permitir a un atacante elevar los privilegios de una aplicación desde el nivel más bajo a root para poder actuar dentro del servidor sin ninguna restricción. Además, la naturaleza de la vulnerabilidad puede permitir a un atacante ejecutar código directamente con permisos de root sin tener que realizar un paso intermedio para la escalada de privilegios.

En términos técnicos, esta vulnerabilidad se encuentra en una región de la memoria conocida como pila o "Stack". El exploit que se aprovecha vulnerabilidad se encarga de colisionar esta parte de la memoria con otras partes con información aleatoria para conseguir los permisos. Aunque la técnica utilizada no es para nada nueva, el exploit que circula por la red sí lo es.

Según la empresa de seguridad Qualy, esta vulnerabilidad fue registrada en un principio con el código CVE-2017-1000364 pero, a medida que se fueron descubriendo otras formas de explotarla, fue recibiendo otros códigos como CVE-2017-1000365 y CVE-2017-1000367, siendo este último el que afecta a un mayor número de sistemas operativos y la técnica de ataque realmente peligrosa. GRSecurity también desarrolló un análisis completo del error.

Los investigadores de Qualys han descubierto el problema y han desarrollado siete exploits y otras tantas pruebas de concepto para demostrarlo, además han trabajado con los fabricantes para desarrollar los parches necesarios.

Esta vulnerabilidad afecta por igual a todo tipo de sistemas y servidores, desde servidores de empresas para uso privado hasta los servidores utilizados para almacenamiento en la nube y servidores virtuales, siendo en estos dos tipos más preocupantes porque el atacante podría llegar a tomar el control de procesos ejecutados por otros usuarios.

Esta técnica no es para nada novedosa, y es que se llevan explotando vulnerabilidades similares. En 2005 Gaël Delalleau encontró una vulnerabilidad y cinco años después Rafal Wojtczuk encontró otras y en 2010, varios desarrolladores de Linux implementaron en el kernel una serie de medidas de seguridad avanzadas pensadas para evitar estas colisiones de pilas de memoria, pero, 7 años más tarde, estos ataques siguen siendo posibles y afectando a millones de servidores conectados a Internet.

Aunque en un principio esta vulnerabilidad como tal no supone mucho peligro para el sistema operativo, los delincuentes pueden utilizarla muy fácilmente para ejecutar código con permisos de superusuario a través de otras aplicaciones maliciosas. Por ello, los expertos de seguridad recomiendan instalar los últimos parches de seguridad lo antes posible y aplicar las medidas necesarias para evitar que esta vulnerabilidad pueda poner en peligro los sistemas.

En caso de no poder actualizar, o que aún no existan parches para nuestro sistema, es recomendable, temporalmente, hacer más estrictos los valores RLIMIT_STACK y RLIMIT_AS para los usuarios locales y remotos en nuestro servidor.

Más información:
Fuente: Redes Zone

Suscríbete a nuestro Boletín

1 comentario:

  1. Interesante por la gran cantidad de sistemas vulnerables.
    De cualquier forma en sistemas *nix los bugs suelen ser locales y no tantos del tipo RCE.
    También a destacar el manejo de reporte de la vulnerabilidad ya que evito que haya ataques "in-the-wilde".

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!