Kernel de Linux anterior a 5.0.8 es vulnerable a la ejecución remota de código
Las máquinas Linux que ejecutan distribuciones que funcionan con kernel anteriores a 5.0.8 se ven afectadas por una vulnerabilidad de condición de carrera que lleva a un uso libre, relacionado con la limpieza del espacio de nombres de red, exponiendo los sistemas vulnerables a ataques remotos.
Los posibles atacantes podrían explotar la falla de seguridad que se encuentra en la implementación de TCP/IP del kernel rds_tcp_kill_sock en net/rds/tcp.c para desencadenar estados de denegación de servicio (DoS) y ejecutar el código de forma remota en las máquinas vulnerables de Linux.
Los ataques pueden iniciarse con la ayuda de paquetes TCP especialmente diseñados que se envían a cajas de Linux vulnerables, lo que puede desencadenar errores de uso después de la liberación y permitir a los atacantes ejecutar código arbitrario en el sistema de destino.
La Base de datos de Vulnerabilidades (NVD, por sus siglas en inglés) del Instituto Nacional de Estándares y Tecnología de Estados Unidos ha asignado a la vulnerabilidad explotable de forma remota una puntuación de gravedad severa 8.1; está siendo identificada como CVE-2019-11815 (Red Hat , Ubuntu , SUSE y Debian) y puede ser explotada por atacantes no autenticados sin la interacción del usuario.
Afortunadamente, debido a que la complejidad del ataque es alta, la vulnerabilidad recibió un puntaje de explotabilidad de 2.2, mientras que el puntaje de impacto se limita a 5.9.
Impacto de la vulnerabilidad
Según CVSS 3.0, las métricas de impacto de la vulnerabilidad CVE-2019-11815 tiene un alto impacto de confidencialidad, integridad y disponibilidad, lo que hace posible que los atacantes potenciales puedan acceder a todos los recursos, modificar cualquier archivo y negar el acceso a los recursos después de explotar con éxito la vulnerabilidad.
Tal como se detalla en la base de datos de vulnerabilidades de seguridad del software Common Weak Enumeration (CWE), el intento de hacer referencia a la memoria después de que ya se liberó provocó una falla de uso después de su liberación, lo que provocó que el software se bloquee, use valores inesperados o se ejecute código.
Los desarrolladores del kernel de Linux emitieron un parche para el problema CVE-2019-11815 a fines de marzo y corrigieron la falla en la versión del kernel de Linux 5.0.8 lanzada el 17 de abril.
Al ver que la vulnerabilidad solo afecta a los sistemas en los que el módulo de sockets de datagramas confiables (RDS) está presente y cargado, los usuarios pueden verificar si su máquina con Linux está afectada y aplicar las medidas de mitigación disponibles como parte del aviso CVE-2010-3904 publicado por Re Hat
Vulnerabilidades de Hombre en el Medio (MiTM) que conducen a la ejecución de código parcheado en APT
A fines de enero, también se parchó un error de ejecución de código que afectó al administrador de paquetes de alto nivel de APT utilizado por Debian, Ubuntu y otras distribuciones de Linux relacionadas.
En ese momento, la vulnerabilidad se describió como una “inyección de contenido en el método http”, se identificó como CVE-2019-3462, y esta conduce a ataques de hombre en el medio una vez que se explota, lo que hace posible que los atacantes la utilicen más adelante para una “ejecución de código con privilegios de root en la máquina de destino”.
Un problema muy similar que podría llevar a la ejecución de código arbitrario también fue descubierto por Jann Horn de Google Project Zero en diciembre de 2016, una falla que se corrigió en las versiones 1.0.9.8.4 y 1.4 ~ beta2 de APT.