Elevación de privilegios en el kernel Linux

Un error en el componente «cgroups» del kernel Linux exponía operaciones privilegiadas a usuarios sin los permisos suficientes, lo que permitiría a un atacante elevar privilegios en un sistema vulnerable.

Un error en la función ‘cgroup_release_agent_write‘ localizada en el componente ‘kernel/cgroup/cgroup-v1.c‘, permitiría utilizar la funcionalidad ‘release_agent‘ del componente ‘cgroups v1‘ para elevar privilegios y escapar del entorno aislado. Esta vulnerabilidad ha recibido el código CVE-2022-0492 y una puntuación de 7.0.

Se ha publicado el parche que requiere al usuario los permisos necesarios para ejecutar la función privilegiada ‘release_agents‘:

!capable(CAP_SYS_ADMIN)

Como decíamos, un atacante que pueda escribir el fichero de ‘release_agent‘ podría escalar privilegios en el sistema. Sin embargo, este fichero sólo puede ser escrito por el usuario ‘root’. Parece pues un poco contradictorio una vulnerabilidad de elevación de privilegios que sólo pueda ser explotada por un usuario ‘root’. Sin embargo, que un usuario sea ‘root’ no significa que tenga el control total de la máquina. Es el caso de entornos aislados como contenedores docker.

En ese sentido, sólo los contenedores con un perfil más permisivo podrían ser explotables. Por defecto, los puntos de montaje de ‘cgroup’ son de ‘solo lectura’ y por lo tanto su fichero ‘release_agent’ no podría ser escrito.

Además los módulos de seguridad AppArmor y SELinux están activos por defecto, e impiden el montaje de sistemas de archivos. Para explotar esta vulnerabilidad habría que crear un punto de montaje para ‘cgroupfs’ y conseguir escribir en él. Cosa que algunos investigadores de seguridad han conseguido abusando del espacio de nombres del usuario o del permiso ‘CAP_SYS_ADMIN’.

Si sospechas que tus sistemas pueden ser vulnerables se recomienda actualizar cuanto antes los contenedores inseguros o aplicar alguna de las contramedidas siguientes:

  • Habilitar los módulos de seguridad AppArmor y SELinux.
  • Habilitar Seccomp
  • Desactivar los espacios de nombres de usuario no privilegiados con sudo sysctl -w kernel.unprivileged_userns_clone=0
  • Evitar que los procesos escriban en ‘release_agent’.

Un fallo en Sudo permite tener privilegios admin en Linux

Tener acceso como root a un sistema es uno de los objetivos que buscan los piratas informáticos. Es así como podrían obtener el control total. En este artículo nos hacemos eco de una vulnerabilidad que afecta a Sudo y que permitiría a cualquier usuario obtener privilegios de administrador. Un fallo que sin duda puede comprometer un sistema si termina en malas manos. Vamos a explicar en qué consiste.

Un error en Sudo permite tener acceso como administrador a un usuario

Cuando hablamos de Sudo nos referimos a un programa de Unix, de Linux, que permite a un administrador de sistemas con privilegios poder llevar a cabo determinados cambios y acciones que están limitados para los usuarios normales.

Este fallo que afecta a Sudo permite que cualquier usuario normal, sin permisos de administrador, pudiera obtener permisos de root y llevar a cabo cualquier cambio o acción que quisiera. Todo esto sin requerir ningún tipo de autenticación.

Root es el súper usuario del sistema. Una cuenta especial que sirve para administrar cambios importantes, instalar aplicaciones que puedan provocar algún tipo de problema en el equipo, etc. Básicamente es necesario para todos esos cambios relevantes que puedan tener lugar en un equipo Linux.

Un usuario normal, sin privilegios, puede utilizar el comando Sudo para actuar como root. Para ello debe tener permisos o conocer la contraseña del administrador. Esta vulnerabilidad, registrada como CVE-2021-3156, supone una escalada de privilegios. Fue descubierta el pasado 13 de enero por parte de un grupo de investigadores de seguridad de Qualys y han esperado a que hubiera parches disponibles para hacerla pública.

Por tanto podemos decir que este fallo ya ha sido corregido. Es muy importante que los usuarios cuenten con las últimas actualizaciones para corregirlo.

Los investigadores de Qualys indican que el problema se debe a un desbordamiento de búfer explotable por cualquier usuario local (usuarios normales y usuarios del sistema, enumerados en el archivo sudoers o no), y no se requiere que los atacantes conozcan la contraseña del usuario para explotar con éxito esta vulnerabilidad.

El desbordamiento de búfer que permite a cualquier usuario local obtener privilegios de root se activa cuando Sudo elimina incorrectamente las barras diagonales inversas en los argumentos.

Vulnerabilidad que afecta al cPanel

Tres exploits

Qualys creó tres exploits para CVE-2021-3156 para mostrar cómo los atacantes potenciales pueden abusar con éxito de esta vulnerabilidad. Usando estos exploits, los investigadores pudieron obtener privilegios de administrador completos en múltiples distribuciones de Linux, incluyendo Debian 10 (Sudo 1.8.27), Ubuntu 20.04 (Sudo 1.8.31) y Fedora 33 (Sudo 1.9.2). Son algunas de las distribuciones más populares.

Desde Qualys aseguran que otras distribuciones y sistemas operativos compatibles con Sudo probablemente también podrían ser explotados utilizando exploits de CVE-2021-3156.

Los colaboradores de Sudo han solucionado la vulnerabilidad en la versión de sudo 1.9.5p2 que ya ha sido lanzada, al mismo tiempo que Qualys reveló públicamente sus hallazgos. Por tanto, todos los usuarios deberían contar con esta versión actualizada y estar protegidos correctamente.

Para probar si el sistema es vulnerable, podemos iniciar sesión como usuario no root y ejecutar el comando «sudoedit -s /». Los sistemas vulnerables enviarán un error comenzando con «sudoedit:» mientras que los parcheados mostrarán un error comenzando con «usage:».


Fuente: Redeszone.net

El token «Modo dios» de Facebook podría ser usado por ciberdelincuentes

¿Usas Facebook? ¿Tienes alguna extensión instalada en el navegador? Pues, cuidado si tienes instalada la extensión de Chrome que comentamos en este post, ya que podrías sufrir exfiltración de datos debido a que otorga a un servidor de terceros acceso a datos del usuario.

El token designado por el investigador en ciberseguridad Zach Edwards como “Modo Dios”, está expuesto en texto plano en las APIs del servicio, que se suelen usar para la integración de automatismos, módulos, plugins, etc… Ya en 2018 hubo problemas con este token, ya que se eliminaron 50 millones de cuentas de facebook debido a una “exposición simbólica”.

Francois Marier, ingeniero de seguridad de Brave, publicó en Github Issues, que ha descubierto que la extensión L.O.C. de Chrome expone los datos de la red social a un posible robo. Si un usuario tiene instalada esta extensión en el navegador y ha iniciado sesión en Facebook, la aplicación otorga el acceso a algunos datos del usuario a un servidor de terceros.

Fuente: Github

Pese a las declaraciones de Loc Mai, el creador de la aplicación L.O.C., en las que sostenía que, como indica la política de privacidad de su aplicación, no recolecta información del usuario. La aplicación almacena el token de manera local. Esto último hace que un desarrollador malicioso pueda utilizarlo para obtener datos del usuario. Por ejemplo, la API Graph de Facebook necesita de este token de acceso para funcionar. Esta API es una de las herramientas principales para que las aplicaciones puedan realizar tareas de lectura y escritura en la gráfica social de Facebook según indica su documentación.

Algunos navegadores como Brave, hacen alarde de cuidar la privacidad de los usuarios que utilizan este navegador, por lo que están bloqueando la instalación de la extensión L.O.C.


Fuente: Hispasec.com

Estafa de Whatsapp: Atención que le está sucediendo a todo el mundo

Se trata de un mensaje de WhatsApp que solicita un código de verificación de 6 dígitos que supuestamente hemos recibido en nuestro smartphone.

El mensaje denunciado por miles de personas en distintas partes del mundo como estafa dice lo siguiente: “Hola, lo siento, te envíe un código de 6 dígitos por SMS por error, puedes pasar a mí por favor? es urgente”.

Lo grave es que la técnica para robarnos información utiliza a un remitente conocido por nosotros al cual sí tenemos agendado en nuestros contactos, pero como se trata de una estafa, obviamente los ciberdelincuentes están suplantando su identidad para hacernos caer en la trampa.

Dirección

 Calle 67 # 8-16. Oficina 304

Bogotá, D.C. 110231

Colombia

Contacto

 Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

 +57 (601) 794-5739 Ext 2001

  +57 315 860-7000