'Looney Tunables' Vulnerabilidad en Linux Ve Crecer la Evidencia de Concepto de Explotaciones

-


Tras la publicación de la crítica vulnerabilidad de seguridad en Linux, especialistas en seguridad han lanzado pruebas de concepto (PoC) para evaluar las implicaciones de CVE-2023-4911.

Las pruebas de concepto (PoC) para la vulnerabilidad de seguridad CVE-2023-4911, apodada Looney Tunables, ya han sido desarrolladas, tras la divulgación de la vulnerabilidad crítica de desbordamiento de búfer encontrada en la ampliamente utilizada Biblioteca C GNU (glibc) presente en varias distribuciones de Linux la semana pasada.

El investigador de seguridad independiente Peter Geissler; Will Dormann, un analista de vulnerabilidades de software del Instituto de Ingeniería de Software de Carnegie Mellon; y un estudiante de ciberseguridad holandés de la Universidad de Tecnología de Eindhoven se encuentran entre aquellos que han publicado pruebas de concepto en GitHub y en otros lugares, lo que indica que pronto podrían producirse ataques generalizados.

La vulnerabilidad, revelada por investigadores de Qualys, plantea un riesgo significativo de acceso no autorizado a datos, alteraciones en el sistema y posibles robos de datos para los sistemas que ejecutan Fedora, Ubuntu, Debian y varias otras distribuciones importantes de Linux, lo que potencialmente otorga a los atacantes privilegios de root en innumerables sistemas de Linux.

El informe de Qualys señaló que, además de explotar con éxito la vulnerabilidad y obtener privilegios de root completos en las instalaciones predeterminadas de Fedora 37 y 38, Ubuntu 22.04 y 23.04, Debian 12 y 13, es probable que otras distribuciones también sean vulnerables y explotables.

"Saeed Abbasi, gerente de productos de la Unidad de Investigación de Amenazas de Qualys, anunció la semana pasada cuando se reveló la vulnerabilidad: "Esta amenaza tangible para la seguridad de los sistemas y los datos, junto con la posible incorporación de la vulnerabilidad en herramientas maliciosas automatizadas o software como kits de explotación y bots, aumenta el riesgo de explotación generalizada y de interrupciones del servicio."

Una Amenaza Multifacética

La toma de control de root en Linux puede ser muy peligrosa porque proporciona a los atacantes el mayor nivel de control sobre un sistema basado en Linux, y el acceso de root facilita la escalada de privilegios en la red, lo que puede comprometer sistemas adicionales, ampliando así el alcance del ataque.

En julio, por ejemplo, dos vulnerabilidades en la implementación de Ubuntu de un sistema de archivos basado en contenedores permitieron a los atacantes ejecutar código con privilegios de root en el 40% de las cargas de trabajo en la nube de Ubuntu Linux.

Si los atacantes obtienen acceso de root, esencialmente tienen autoridad ilimitada para modificar, eliminar o extraer datos sensibles, instalar software malicioso o puertas traseras en el sistema, perpetuando ataques en curso que permanecen sin ser detectados durante períodos prolongados.

Las tomas de control de root suelen dar lugar a violaciones de datos, lo que permite el acceso no autorizado a información sensible como datos de clientes, propiedad intelectual y registros financieros, y los atacantes pueden perturbar las operaciones comerciales manipulando archivos de sistema cruciales.

Esta interrupción de las operaciones críticas del sistema a menudo resulta en interrupciones del servicio o en la disminución de la productividad, lo que conlleva pérdidas financieras y daños a la reputación de la organización.

La amenaza de toma de control de root está en curso y en aumento; por ejemplo, recientemente se descubrió un paquete npm de typo-squatting que ocultaba un troyano RAT de acceso remoto de Discord de servicio completo. El RAT es un kit de herramientas y una herramienta de piratería de raíz que reduce la barrera de entrada para llevar a cabo ataques en la cadena de suministro de software de código abierto.

Mantener los Sistemas Seguros

El crecimiento exponencial de la base de distribución de Linux lo ha convertido en un objetivo más grande para actores de amenazas, especialmente en entornos en la nube.

Las organizaciones tienen múltiples opciones para protegerse proactivamente contra las tomas de control de root en Linux, como parchear y actualizar regularmente el sistema operativo y el software de Linux y hacer cumplir el principio de privilegio mínimo para restringir el acceso.

Otras opciones incluyen la implementación de sistemas de detección y prevención de intrusiones (IDS/IPS) y el fortalecimiento de los controles de acceso con autenticación multifactor (MFA), así como la monitorización de registros de sistema y tráfico de red y la realización de auditorías de seguridad y evaluaciones de vulnerabilidades.

A principios de este mes, Amazon anunció que agregaría nuevos requisitos de MFA para usuarios con los privilegios más altos, con planes para incluir a otros niveles de usuarios con el tiempo.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más