Vulnerabilidad en Wall
Una
vulnerabilidad en el comando «wall»
del paquete util-linux que forma parte del sistema operativo Linux
podría permitir que un atacante sin privilegios robe contraseñas o cambie el
portapapeles de la víctima.
Registrado como
CVE-2024-28085, el problema de seguridad ha sido denominado WallEscape y ha estado
presente en todas las versiones del paquete durante los últimos 11 años
hasta la 2.40 lanzada ayer.
Aunque la vulnerabilidad es un ejemplo interesante de cómo un atacante puede
engañar a un usuario para que proporcione su contraseña de administrador, es
probable que la explotación se limite a ciertos escenarios. El atacante
necesita tener acceso a un servidor Linux que ya tenga varios usuarios
conectados al mismo tiempo a través del terminal, como una universidad donde
los estudiantes pueden conectarse para realizar una tarea.
El investigador de seguridad Skyler Ferrante descubrió
WallEscape, que se describe como un comando de
«neutralización inadecuada de secuencias de escape».
El comando «wall» normalmente se usa en sistemas Linux para
transmitir mensajes a las terminales de todos los usuarios conectados al mismo
sistema, como un servidor. Debido a que las secuencias de escape se filtran
incorrectamente cuando se procesan entradas a través de argumentos de línea de
comando, un usuario sin privilegios podría explotar la vulnerabilidad usando
caracteres de control de escape para crear un mensaje SUDO falso en las
terminales de otros usuarios y engañarlos para que escriban su contraseña de
administrador.
El problema de seguridad puede explotarse bajo ciertas condiciones.
Ferrante explica
que la explotación es posible si la utilidad «mesg» está activa y el
comando «wall» tiene permisos setgid.
El investigador señala que ambas condiciones están presentes en Ubuntu 22.04
LTS (Jammy Jellyfish) y Debian 12.5 (Bookworm), pero no en CentOS.
Se ha publicado un
código de explotación de prueba de concepto para WallEscape
para demostrar cómo un atacante podría aprovechar el problema.
Los administradores del sistema pueden mitigar CVE-2024-28085 inmediatamente
eliminando los permisos setgid del comando «wall» o
deshabilitando la funcionalidad de transmisión de mensajes usando el comando
«mesg» para establecer su indicador en «n».
Puerta trasera en Fedora
Red Hat advirtió a los usuarios que dejaran de usar inmediatamente
sistemas que ejecutan versiones experimentales y de desarrollo de Fedora
debido a una puerta trasera encontrada en las últimas bibliotecas y
herramientas de compresión de datos de XZ Utils.
«Ninguna versión de Red Hat Enterprise Linux (RHEL) se ve afectada. Tenemos
informes y evidencia de las inyecciones creadas con éxito en versiones xz
5.6.x creadas para Debian inestable (Sid). Otras distribuciones también
pueden verse afectadas».
El equipo de seguridad de
Debian también emitió un aviso
advirtiendo a los usuarios sobre el problema. El aviso dice que ninguna
versión estable de Debian está utilizando los paquetes comprometidos y que XZ
ha sido revertido al código original 5.4.5 en las distribuciones
experimentales, inestables y de prueba de Debian afectadas.
El ingeniero de software de Microsoft, Andrés Freund,
descubrió el problema
de seguridad mientras investigaba inicios de sesión SSH lentos en una máquina
Linux que ejecutaba Debian Sid (la versión de desarrollo continuo de la
distribución Debian).
Sin embargo, no ha encontrado el propósito exacto del
código malicioso agregado a las versiones 5.6.0 y 5.6.1 de XZ.
Red Hat ahora está rastreando este problema de seguridad
de la cadena de suministro como
CVE-2024-3094, le asignó una
puntuación de gravedad crítica de 10/10
y volvió a las versiones 5.4.x de XZ en Fedora 40 beta.
El código malicioso está ofuscado y sólo se puede encontrar en el paquete de
descarga completo, no en la distribución Git, que carece de la macro M4, que
desencadena el proceso de compilación de la puerta trasera. Si la macro
maliciosa está presente, los artefactos de la segunda etapa que se encuentran
en el repositorio de Git se inyectan durante el tiempo de compilación.
«La compilación maliciosa resultante interfiere con la autenticación en
sshd a través de systemd. SSH es un protocolo comúnmente utilizado para
conectarse remotamente a sistemas, y sshd es el servicio que permite el
acceso», dijo Red Hat.
«En las circunstancias adecuadas, esta interferencia podría permitir que un
actor malicioso rompa la autenticación sshd y obtenga acceso no autorizado a
todo el sistema de forma remota».
CISA también publicó un aviso
advirtiendo a los desarrolladores y usuarios que bajen a una versión XZ no
comprometida (es decir, 5.4.6 Estable) y busquen cualquier actividad maliciosa
o sospechosa en sus sistemas.
