Vulnerabilidad de Dirty Sock permite a los hackers obtener acceso de root en Linux

El investigador descubrió una nueva vulnerabilidad de escalada de privilegios llamada Dirty Sock en la instalación predeterminada de Ubuntu Linux, lo que permite al atacante obtener una raíz inmediata del sistema.

Esta grave vulnerabilidad existente en el servicio predeterminado del sistema Linux llamado API snapd, que permite a cualquier usuario local aprovechar y explotar la falla para obtener el acceso completo a la raíz.

Chris Moberly, un investigador, se refiere a esta vulnerabilidad como Dirty Sock y fue descubierto a fines de enero y reportado al equipo de Canonical , una compañía detrás de Ubuntu.

Se lanzó una vulnerabilidad que funciona el 100% del tiempo en instalaciones nuevas y predeterminadas de Ubuntu Server y Desktop.

La gestión de las instantáneas instaladas localmente y la comunicación con su tienda en línea se realizan parcialmente mediante un servicio de systemd llamado "snapd" ( https://github.com/snapcore/snapd ) que se ejecuta en Ubuntu bajo usuario root.

Esta vulnerabilidad se encuentra exactamente en el Snapd que sirve una API REST adjunta a un socket local UNIX_AF.

El investigador dijo : el control de acceso a las funciones de API restringidas se logra consultando el UID asociado con cualquier conexión hecha a ese socket que permita el acceso de los usuariosel cualquiera Función API.

Al tener acceso a la función API, los atacantes usarán el método diferente para obtener el acceso de la raíz.

Moberly publicó un exploit de prueba de código en GitHub que se escribió en Python para realizar la siguiente operación contra esta vulnerabilidad y las versiones de Snapd 2.28 a 2.37 son todas vulnerables al exploit de Dirty Sock.

  • Crea un archivo aleatorio con la cadena '; uid = 0;' en el nombre
  • Enlaza un socket a este archivo
  • Se conecta a la API de snapd
  • Elimina el complemento de troyano (si se dejó de una ejecución abortada anterior)
  • Instala el complemento de troyano (en cuyo punto se ejecutará el gancho de instalación)
  • Borra el complemento de troyano
  • Borra el archivo de socket temporal

Esta vulnerabilidad solo funciona para un atacante local para escalar el privilegio en el sistema Linux de destino y no funcionará de forma remota.

El equipo de Ubuntu reparó esta vulnerabilidad y lanzó actualizaciones de seguridad para el sistema operativo Ubuntu Linux que se rastrearon como CVE-2019-7304.

En este caso, los usuarios de Linux instaron a actualizar su sistema lo antes posible para evitar las circunstancias de explotación.

Semrush sigue a tu competencia

Fecha actualización el 2019-02-14. Fecha publicación el 2019-02-14. Categoría: linux Autor: Oscar olg Mapa del sitio Fuente: gbhackers
linux