Descubiertas dos graves vulnerabilidades en Linux

Recomendados:  Anatomía del ataque a una cuenta privilegiada Leer Seis razones para proteger Salesforce con una solución de terceros Leer

Qualys ha descubierto dos vulnerabilidades relevantes que afectan ambas a sistemas operativos Linux.

La primera de ellas, que ha sido bautizada como Sequoia (CVE-201-33909), es una vulnerabilidad de escalada de privilegios en la capa del sistema de archivos de Linux. Concretamente, según explica el especialista en soluciones de cumplimiento y seguridad cloud, es una vulnerabilidad del tipo size_t-to-int en el sistema de archivos del Kernel de Linux por lo que ven afectados la mayoría de sistemas operativos. Cualquier usuario sin privilegios podría obtener privilegios de administrador aprovechando esta vulnerabilidad en una configuración predeterminada.

Los investigadores de seguridad de Qualys han verificado de forma independiente la vulnerabilidad Sequoia, desarrollar un exploit y obtener privilegios completos de administración en implementaciones predeterminadas de Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 y Fedora 34, pero afirman que es probable que otras distribuciones de Linux sean vulnerables y eventualmente explotables.

La segunda de las vulnerabilidades es la CVE-2021-33910 y se trata de una Denegación de Servicio del tipo stack exhaustion en Systemd (PID 1), una utilidad presente en la mayoría de sistemas operativos Linux. De ser explotada, podría permitir que un usuario sin privilegios bloquee Systemd y, por tanto, todo el sistema operativo (kernel panic, o ataque del pánico del kernel).

La firma, que ha publicado los detalles técnicos de ambas vulnerabilidades ha participado en la divulgación responsable de estas dos vulnerabilidades y coordinó el anuncio previamente con todas las partes implicadas.