La vulnerabilidad del kernel de Linux revela la memoria de la pila, lo que lleva a la fuga de datos locales

Anunciada por primera vez el 27 de abril por investigadores del grupo de seguridad cibernética Cisco Talos, esta es esencialmente una vulnerabilidad de detección que podría permitir que un atacante obtenga acceso a la memoria de la pila del kernel, un componente clave del sistema operativo de código abierto Linux.

Figura 1 La vulnerabilidad del kernel de Linux revela memoria de pila que conduce a la fuga de datos locales

En caso de que no lo supiera, la memoria de pila actúa como un lugar para almacenar variables locales que pasan parámetros en funciones. El proceso de acceso a esta memoria es muy rápido y se realiza durante la traducción del programa. El tamaño de la memoria de pila es fijo y depende del sistema operativo específico. Por ejemplo, la memoria de pila típica para Windows es de 1 MB, mientras que para Linux es de 8 MB.

La vulnerabilidad se rastrea actualmente con el ID CVE-2020-28588 y, por lo general, se deriva de las funciones proc/pid/syscall de dispositivos ARM de 32 bits que ejecutan Linux.

Según los hallazgos preliminares de los expertos de Cisco Talos, el primer problema relacionado con esta vulnerabilidad se encontró en dispositivos que ejecutan Azure Sphere. Un atacante que intente aprovechar el agujero de seguridad puede leer el archivo/llamada al sistema del sistema operativo a través de Proc, un sistema utilizado para comunicarse entre estructuras de datos nucleares.

Si un atacante ejecuta un comando para mostrar 24 bytes en la memoria de pila no inicializada, se puede abusar de la entrada / syscall procfs, omitiendo el kernel de espacio de direcciones disponible (KASLR).

El ataque fue "indetectable en una red remota" porque era esencialmente un archivo legítimo del sistema operativo que se estaba leyendo, dijeron los investigadores.

"Usado correctamente, un atacante puede usar esta fuga para explotar con éxito otras vulnerabilidades descubiertas en Linux", agregó el equipo de Cisco.

Las versiones del kernel de Linux 5.10-rc4, 5.4.66 y 5.9.8 se ven directamente afectadas por esta vulnerabilidad. Ahora se ha emitido un ajuste para minimizar los riesgos asociados con esta vulnerabilidad. Se recomienda a los usuarios que actualicen sus compilaciones a la última versión para estar seguros.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!