Stack Clash, una importante vulnerabilidad en sistemas Linux y Unix

¿Qué es Stack Clash?

Stack Clash es una vulnerabilidad (CVE-2017-1000364) en la administración de memoria de varios sistemas operativos incluidos Linux, OpenBSD, NetBSD, FreeBSD y Solaris, tanto en las arquitecturas i386 como en amd64. Dicha vulnerabilidad puede ser explotada por atacantes que corrompan la memoria y ejecuten código arbitrario. Los investigadores de Qualys descubrieron esta vulnerabilidad, desarrollaron siete exploits y siete pruebas de concepto, luego trabajaron cerca de los desarrolladores y fabricantes de los productos vulnerables para liberar parches de seguridad.  En la actualidad, aun se están realizando esfuerzos coordinados para parchear todas las distribuciones, y ya pueden obtenerse estos por lo que es recomendable aplicarlos.

 ¿En qué consiste la vulnerabilidad?

Cada programa que corre en un ordenador utiliza una región especial de memoria llamada pila o Stack. Esta región es especial puesto que cambia de tamaño segstack clash vulnerability linux bsd unix nixún las necesidades del programa. Generalmente las aplicaciones la utilizan para almacenar argumentos de llamadas a funciones y direcciones de retorno de las mismas. Si el stack crece demasiado, puede “pisar” otra región de memoria de un programa, llamada montón, o heap, utilizada por ejemplo, para almacenamiento de memoria dinámica en las aplicaciones. Al pisar esta otra región de memoria ocasiona confusión en el normal desenvolvimiento de las aplicaciones y esta confusión puede ser explotada por un atacante sobrescribiendo el stack con el heap, o viceversa.

¿Es una vulnerabilidad nueva?

La idea de hacer colisionar al stack con otras regiones de memoria no es nueva, y fue explotada por primera vez en el 2005, y luego en el 2010. Luego de esto, Linux introdujo una medida de protección contra este tipo de exploits: el stack guard-page.

¿Stack Clash representa una o varias vulnerabilidades?

Esta vulnerabilidad, la CVE-2017-1000364, demuestra que un stack guard-page de pocos kibibytes es insuficiente. Pero durante la investigación realizada por Qualys se descubrieron mas vulnerabilidades, algunas directa o indirectamente relacionadas a Stack Clash, por ejemplo, las vulnerabilidades CVE-2017-1000365 y CVE-2017-1000367.

¿Mi sistema se ve afectado?

Si estás usando Linux, OpenBSD, NetBSD, FreeBSD, o Solaris, en arquitecturas i386 o amd64, sí, estás afectado. Otros sistemas operativos y arquitecturas podrían ser vulnerables también.

¿Qué riesgos corremos?

Los exploits y pruebas de concepto demostraron que la vulnerabilidad permite una escalada de privilegios local: un atacante que tenga cualquier tipo de acceso a un sistema afectado, podrá explotar Stack Clash y obtener privilegios completos de root.

¿Es explotable remotamente?

Las investigaciones se focalizaron en exploits locales, pero no se sabe si puede ser explotada remotamente mediante alguna aplicación. No obstante, un exploit remoto de Stack Clash no es imposible, localmente no es difícil de demostrar, pero remotamente va a depender, seguramente, de detalles particulares de alguna aplicación. Los investigadores de Qualys analizaron detenidamente Exim, el conocido servidor de correo electrónico open source, y determinaron que no permite vulnerar al sistema remotamente.

¿Cómo podemos protegernos?

La forma más simple y segura es actualizando el sistema, así mismo, la gente de Qualys viene trabajando con los desarrolladores de sistemas y fabricantes de equipos desde principios de mayo, y a hoy ya se encuentran los parches disponibles para cada distro.

¿Qué pasa si no puedo (o no quiero) actualizar o reiniciar el sistema?

Como solución temporal, se puede configurar los límites RLIMIT_STACK y RLIMIT_AS para los usuarios locales y servicios remotos en algún valor razonablemente pequeño. Si bien sirve para mejorar un poco la seguridad, ya que según las pruebas realizadas, igual puede terminar siendo vulnerable el sistema, y si los valores son muy pequeños, causará fallos en las aplicaciones que deberían correr normalmente.

FUENTE:

https://juncotic.com.

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *