Los temas del resumen de seguridad de esta semana incluyen:
- una condición de carrera en el subsistema de memoria del núcleo de Linux;
- una vulnerabilidad de path traversal en el software UnRAR que conduce a un zero-Day en Zimbra; y
- descubrimiento de un fallo arquitectónico en las CPU de Intel.
Vulnerabilidad del núcleo de Linux - CVE-2022-2590
David Hildenbrand de Red Hat-con la participación de Amit Nadav de VMware- descubrió recientemente una vulnerabilidad en las versiones 5.16 o superiores del kernel de Linux, que podría dar lugar a que un adversario modifique el contenido de los archivos de memoria compartida (shmem/tmpfs). Denominado "Dirty COW vulnerability restricted to tmpfs/shmem", el fallo(CVE-2022-2590) puede permitir a un usuario local autenticado escalar sus privilegios en el sistema aprovechando una condición de carrera en el mecanismo de copia en escritura del subsistema de gestión de memoria de Linux. Están afectadas las plataformas x86-64 y aarch64.
Copy-on-write es una estrategia de gestión de recursos implementada en varios sistemas, como bases de datos, sistemas de archivos y sistemas operativos. Una explicación simplificada sería que si diferentes procesos están accediendo al mismo recurso/objeto en la memoria, y si un proceso intenta escribir en el recurso compartido, se produce un fallo de página y el núcleo crea una nueva copia privada del recurso para el proceso que escribe. Esto evita la corrupción de datos y que cualquier escritura en el recurso compartido sea visible para otros procesos. El efecto de esta vulnerabilidad parece limitarse al sistema de archivos tmpfs, que es el más utilizado para montar los directorios /tmp, /var/lock, /var/run y /dev/shm.
Un prerrequisito para la explotación es que el kernel esté compilado con CONFIG_USERFAULTFD=y, que permite a los procesos del espacio de usuario manejar fallos de página a través de la llamada al sistema userfaultfd.
Encontrará más información en el parche de la versión anterior.
Vulnerabilidad de Path Traversal en UnRAR
Simon Scannell, investigador de SonarSource, descubrió a finales de junio una vulnerabilidad en las versiones Unix/Linux del software UnRAR. La vulnerabilidad, rastreada como CVE-2022-30333, es explotable cuando un usuario o un servicio intenta extraer un archivo RAR malicioso, lo que lleva a la creación de archivos fuera de la carpeta de extracción de destino.
Zimbra es un popular software de colaboración y una plataforma de correo electrónico disponible para Linux. Forma parte de una campaña de ataques de día cero en curso que aprovecha instalaciones no parcheadas de UnRAR en el servidor. Esto ha llevado a la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) a añadir el fallo en UnRAR a su Catálogo de Vulnerabilidades Explotadas Conocidas.
Según el blog SonarSource, un actor de amenazas puede enviar un correo electrónico que contenga un archivo adjunto .rar malicioso a una instancia de Zimbra, el correo electrónico pasa a través del servicio Amavis, que es responsable de analizar y comprobar el mensaje entrante. El servicio también puede extraer archivos adjuntos de correo electrónico para comprobar si contienen spam o malware, sin necesidad de interacción por parte del usuario. Dado que Amavis depende de UnRAR para extraer cualquier archivo .rar adjunto, un atacante puede soltar archivos arbitrarios en un sistema de destino o lograr la ejecución remota de código aprovechando la vulnerabilidad en UnRAR para comprometer una instancia de Zimbra.
La vulnerabilidad en UnRAR fue solucionada por RarLab en la versión 6.1.7 del código fuente y está parcheada en la versión 6.12. Zimbra ha mitigado el fallo en las últimas actualizaciones de sus servicios y plataforma.
ÆPIC Leak, un fallo arquitectónico en las CPU de Intel
Investigadores de la Universidad Sapienza de Roma, la Universidad Tecnológica de Graz, Amazon Web Services y el CISPA Helmholtz Center for Information Security han descubierto conjuntamente un fallo arquitectónico que afecta a las CPU Intel de 10ª, 11ª y 12ª generación. El fallo se encuentra en el componente de la CPU Advanced Programmable Interrupt Controller (APIC), responsable de aceptar, priorizar y enviar interrupciones a los núcleos del procesador. Para explotarlo con éxito se requieren privilegios de administrador o root en el MMIO de APIC y podría dar lugar a la divulgación de información sensible del procesador.
Como se señala en el sitio web de ÆPIC Leak, este fallo difiere de las vulnerabilidades Meltdown y Spectre en que los datos sensibles pueden revelarse sin recurrir a ataques de canal lateral. Además, los hipervisores no conceden a las cargas de trabajo en la nube acceso directo al controlador de interrupciones programable avanzado del hardware subyacente, por lo que se mitiga el riesgo de que una máquina virtual en la nube explote la vulnerabilidad.
Intel ha publicado un aviso de seguridad sobre el fallo y actualizaciones de firmware para solucionar esta vulnerabilidad.
Vulnerabilidades que son tendencia esta semana
- CVE-2022-27925: Directory traversal en Zimbra Collaboration
- CVE-2022-37042: Posible traspaso de directorios y ejecución remota de código en Zimbra Collaboration suite
- CVE-2022-32893: Ejecución arbitraria de código en Safari
- CVE-2022-28756: Escalada de privilegios local en el cliente de Zoom para reuniones para macOS
- CVE-2022-30190: Vulnerabilidad de ejecución remota de código en la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT).
Comentarios