Decenas de millones de PC y servidores Linux, así como el 66% de los dispositivos móviles Android, son vulnerables a una vulnerabilidad de día cero que podría permitir a los usuarios con privilegios de nivel inferior obtener acceso root. punto de detecciónla compañía anunció el descubrimiento la semana pasada.
La compañía dijo que la vulnerabilidad de escalada de privilegios locales que afecta al kernel de Linux v3.8 y posteriores existe desde 2012.
Sin embargo, Perception Point señala que SMEP (Protección de ejecución en modo supervisor) y SMAP (Protección de acceso en modo supervisor) harán que las máquinas Linux sean difíciles de explotar, mientras que los dispositivos Android están protegidos por SELinux.
SMEP y SMAP son características nativas de las CPU de arquitectura Intel implementadas en computadoras de escritorio y servidores para limitar el acceso del espacio del usuario a los recursos centrales. experto en linux. Las CPU ARM para dispositivos móviles proporcionan sus propias características arquitectónicas para este propósito, como extensiones de seguridad y excepciones de cancelación de datos.
Weinberg le dijo a LinuxInsider que SELinux y las versiones de Android creadas con SELinux, como Samsung Knox, «también pueden mitigar las vulnerabilidades al debilitar el acceso a la cuenta raíz».
Posibles vulnerabilidades
La vulnerabilidad descubierta por Perception Point aparece como «CVE-2016-0728».
Se puede utilizar para permitir que un usuario legítimo o menos privilegiado obtenga acceso raíz y comprometa el servidor o la PC; sin embargo, el atacante primero debe obtener acceso local al servidor.
La vulnerabilidad existe en la función de conjunto de claves integrada en el kernel de Linux.
Un llavero contiene una lista de otras claves. Se pueden modificar mediante varias llamadas al sistema y no se les debe dar una carga útil cuando se crean.
La explotación de esta vulnerabilidad puede hacer que el kernel haga referencia a la memoria liberada o reasignada, pero las implementaciones de SMEP y SMAP «limitarán vulnerabilidades como CVE-2016-0728 al bloquear intentos ilegales de acceder y/o ejecutar en o cerca de la ubicación de la memoria». El alcance del exploit «libera la estructura crítica del objetivo», señaló Weinberg.
«Con estas medidas implementadas, un programa de espacio de usuario sólo puede corromper el contenido de la clave original que se le ha otorgado», explicó.
quien esta en peligro
Red Hat Enterprise Linux 5 y 6 no son susceptibles a este defecto, pero Red Hat Enterprise Linux 7 en riesgoSegún la empresa. El error en RHEL 7 se resolverá en una actualización futura.
Mientras tanto, Red Hat lanzó parches para Fedora 22 y RHEL 7.
Enumera muchas otras distribuciones de Linux que no son vulnerables. aquí.
Adrian Sanabria, analista de 451 Research, dijo: «Esta es una vulnerabilidad de escalada de privilegios local, que nos dice que es posible que necesite acceso normal a nivel de usuario al sistema antes de siquiera considerar su uso».
«Eso por sí solo significa que no hay necesidad de una emergencia de nivel de shock o hemorragia cardíaca aquí», dijo a LinuxInsider.
Sanabria dijo que no parece haber una amenaza inminente porque los puntos de concientización «sólo indican el porcentaje de sistemas que pueden verse afectados». «No me sorprendería que la gran mayoría fueran parcheados sin incidentes».
Sin embargo, eliminar la amenaza puede no ser una buena idea.
«El hecho de que nadie vea las vulnerabilidades no significa que no existan en la naturaleza», advirtió Weinberg. «Los sombreros negros exitosos son reservados».
Por otro lado, «no quiero entrar en pánico por cada vulnerabilidad de día cero que aparece, incluso en el código del kernel», añadió.
Si bien la vulnerabilidad no es un gran problema para la mayoría de los entornos, «para los sistemas Linux multiusuario donde no todos los usuarios son personas internas de confianza… es un gran problema», reconoció Sanabria. Sin embargo, «no quedan muchos sistemas Linux multiusuario que no estén virtualizados o segmentados».
Señaló que un ataque que explotara esta vulnerabilidad sería «muy ruidoso y debería ser fácil de detectar y prevenir mediante un software de intrusión basado en host».
Dicho esto, los usuarios deben parchear sus sistemas tan pronto como esté disponible un parche.
