El sector de la seguridad informática está últimamente muy revuelto. Desde el caos causado por WannaCry el mes pasado, expertos de seguridad de todo el mundo se están tomando muy en serio la protección de sus sistemas y equipos de cara a evitar posibles ataques informáticos a través de Internet. Por ello, cada pocos días estamos viendo cómo se hacen públicos, y se solucionan, todo tipo de fallos de seguridad como el nuevo Stack Clash, una nueva vulnerabilidad que afecta a los servidores Linux y Unix.
Stack Clash es una nueva vulnerabilidad que afecta a todo tipo de sistemas operativos Linux, Unix, OpenBSD y FreeBSD que puede permitir a un atacante elevar los privilegios de una aplicación desde el nivel más bajo a root para poder actuar dentro del servidor sin ninguna restricción. Además, la naturaleza de la vulnerabilidad puede permitir a un atacante ejecutar código directamente con permisos de root sin tener que realizar un paso intermedio para la escalada de privilegios.
En términos técnicos, esta vulnerabilidad se encuentra en una región de la memoria conocida como pila o “Stack”. El exploit diseñado para explotar esta vulnerabilidad se encarga de colisionar esta parte de la memoria con otras partes con información aleatoria para conseguir los permisos. Aunque la técnica utilizada no es para nada nueva, el exploit que circula por la red sí lo es.
Según la empresa de seguridad Qualy, esta vulnerabilidad fue registrada en un principio con el código CVE-2017-1000364 pero, a medida que se fueron descubriendo otras formas de explotarla, fue recibiendo otros códigos como CVE-2017-1000365 y CVE-2017-1000367, siendo este último el que afecta a un mayor número de sistemas operativos y la técnica de ataque realmente peligrosa.
Esta vulnerabilidad afecta por igual a todo tipo de sistemas y servidores, desde servidores de empresas para uso privado hasta los servidores utilizados para almacenamiento en la nube y servidores virtuales, siendo en estos dos tipos más preocupantes porque el atacante podría llegar a tomar el control de procesos ejecutados por otros usuarios.
Como hemos dicho, esta técnica de ataque informático no es para nada novedosa, y es que se llevan explotando vulnerabilidades similares desde 2005. En 2010, varios desarrolladores de Linux implementaron en el kernel una serie de medidas de seguridad avanzadas pensadas para evitar estas colisiones de pilas de memoria, pero, 7 años más tarde, estos ataques siguen siendo posibles y afectando a millones de servidores conectados a Internet.
Aunque en un principio esta vulnerabilidad como tal no supone mucho peligro para el sistema operativo, los piratas informáticos pueden utilizarla muy fácilmente para ejecutar código con permisos de superusuario a través de otras aplicaciones maliciosas. Por ello, los expertos de seguridad recomiendan instalar los últimos parches de seguridad lo antes posible y aplicar las medidas necesarias para evitar que esta vulnerabilidad pueda poner en peligro los sistemas.
En caso de no poder actualizar, o que aún no existan parches para nuestro sistema, es recomendable, temporalmente, hacer más estrictos los valores RLIMIT_STACK y RLIMIT_AS de los usuarios locales y remotos en nuestro servidor.
¿Qué opinas de esta vulnerabilidad? ¿Crees que últimamente los sistemas operativos Linux para servidores se están viendo en peligro?
Stack Clash es una nueva vulnerabilidad que afecta a todo tipo de sistemas operativos Linux, Unix, OpenBSD y FreeBSD que puede permitir a un atacante elevar los privilegios de una aplicación desde el nivel más bajo a root para poder actuar dentro del servidor sin ninguna restricción. Además, la naturaleza de la vulnerabilidad puede permitir a un atacante ejecutar código directamente con permisos de root sin tener que realizar un paso intermedio para la escalada de privilegios.
En términos técnicos, esta vulnerabilidad se encuentra en una región de la memoria conocida como pila o “Stack”. El exploit diseñado para explotar esta vulnerabilidad se encarga de colisionar esta parte de la memoria con otras partes con información aleatoria para conseguir los permisos. Aunque la técnica utilizada no es para nada nueva, el exploit que circula por la red sí lo es.
Según la empresa de seguridad Qualy, esta vulnerabilidad fue registrada en un principio con el código CVE-2017-1000364 pero, a medida que se fueron descubriendo otras formas de explotarla, fue recibiendo otros códigos como CVE-2017-1000365 y CVE-2017-1000367, siendo este último el que afecta a un mayor número de sistemas operativos y la técnica de ataque realmente peligrosa.
Esta vulnerabilidad afecta por igual a todo tipo de sistemas y servidores, desde servidores de empresas para uso privado hasta los servidores utilizados para almacenamiento en la nube y servidores virtuales, siendo en estos dos tipos más preocupantes porque el atacante podría llegar a tomar el control de procesos ejecutados por otros usuarios.
Como hemos dicho, esta técnica de ataque informático no es para nada novedosa, y es que se llevan explotando vulnerabilidades similares desde 2005. En 2010, varios desarrolladores de Linux implementaron en el kernel una serie de medidas de seguridad avanzadas pensadas para evitar estas colisiones de pilas de memoria, pero, 7 años más tarde, estos ataques siguen siendo posibles y afectando a millones de servidores conectados a Internet.
Aunque en un principio esta vulnerabilidad como tal no supone mucho peligro para el sistema operativo, los piratas informáticos pueden utilizarla muy fácilmente para ejecutar código con permisos de superusuario a través de otras aplicaciones maliciosas. Por ello, los expertos de seguridad recomiendan instalar los últimos parches de seguridad lo antes posible y aplicar las medidas necesarias para evitar que esta vulnerabilidad pueda poner en peligro los sistemas.
En caso de no poder actualizar, o que aún no existan parches para nuestro sistema, es recomendable, temporalmente, hacer más estrictos los valores RLIMIT_STACK y RLIMIT_AS de los usuarios locales y remotos en nuestro servidor.
¿Qué opinas de esta vulnerabilidad? ¿Crees que últimamente los sistemas operativos Linux para servidores se están viendo en peligro?
