8 mar. 2021

Vulnerabilidad de escalamiento en Linux Kernel #CVE-2021-26708

Hace algunas días, un investigador de seguridad de revelo un nuevo fallo en el núcleo de Linux. Este fallo, al explotarse, podría brindar al atacante control total sobre del sistema operativo y puede utilizarse para robar datos sin restricciones de permisos e incluso para instalar malware. El único requisito es tener acceso físico al equipo, ya sea estando sentados delante del sistema o a través de SSH o mediante control remoto.

Alexander Popov, investigador de seguridad que ha descubierto este fallo, ha probado con éxito un exploit en un servidor con Fedora 33. Tras comprobar que, efectivamente, la vulnerabilidad podría explotarse, este investigador reportó a la Linux Foundation y a otras organizaciones sobre su existencia el pasado 5 de febrero.

Este problema está presente en los servidores que utilizan el kernel Linux desde la versión 5.5 de noviembre de 2019 hasta la versión actual del kernel principal 5.11-rc6. Estos agujeros de seguridad afectaron a Linux cuando se agregó el soporte de transporte múltiple de sockets virtuales. Este transporte de red facilita la comunicación entre las máquinas virtuales y su host.

El problema principal son las condiciones de los controladores del kernel CONFIG_VSOCKETS y CONFIG_VIRTIO_VSOCKETS. Estos se envían como módulos del kernel en todas las principales distribuciones de Linux. La razón por la que este es un problema tan serio es que cada vez que un usuario común crea un socket AF_VSOCK, los módulos vulnerables se cargan automáticamente.

Popov ha indicado que creó un prototipo de exploit para lograr escalar privilegios en Fedora 33 sin pasar por las protecciones de la plataforma x86_64 como SMEP y SMAP.

Ganar privilegios dentro de Linux y obtener control total

Este tipo de vulnerabilidades son muy comunes dentro de los sistemas Linux. Como su nombre indica, lo que se consigue con ellas es dar a un usuario cualquiera con un nivel de permisos estándar, o limitado, permisos de root

Este fallo de seguridad ha sido registrado como CVE-2021-26708, y ha recibido una puntuación de peligrosidad de 7 sobre 10. Además, se cree que, a través de otras vulnerabilidades, este fallo podría utilizarse para ejecutar código remoto.

Este investigador de seguridad, junto al aviso de la vulnerabilidad, envió un parche preparado para solucionar el fallo en el Kernel. Por lo tanto, si nuestra distro utiliza una versión del Kernel con soporte, podremos instalar el parche del núcleo buscando y bajando nuevas actualizaciones en nuestra distro. De lo contrario, deberíamos actualizar el núcleo a mano nosotros mismos.

Fuente: ZDNetSeclists

No hay comentarios.:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!