Debido
a una falla en el servicio de cifrado Cryptsetup, un hacker puede obtener
acceso a la consola de root en un sistema Linux manteniendo presionada la tecla
Intro durante 70 segundos.
Si
bien es cierto que el atacante no puede acceder directamente a los archivos
cifrados, este puede copiar, destruir o modificar el contenido del disco duro.
Este fallo se puede solucionar mediante la aplicación de parches o la adición
de unas pocas líneas de código para la configuración del arranque.
Este
mes debería llamarse “Hackeado en segundos”. Esto porque hemos sido testigos de
cómo se hackeó Microsoft Edge en 18 segundos en el PwnFest, además de ver
situaciones similares en el teléfono Pixel de Google y Adobe Flash. Pero
también el mundo del código abierto y Linux no se ha quedado atrás.
Debido
a un fallo en la implementación de la utilidad Cryptsetup que se utiliza para el cifrado de discos duros a través
de Linux Unified Key Setup (LUKS), un atacante puede obtener acceso al intérprete
de comandos de Linux, solamente manteniendo pulsada la tecla Enter durante 70
segundos. Cryptsetup se ve afectada por un error de diseño que permite probar diferentes contraseñas.
Una
vez que el atacante ha utilizado los 93 intentos de contraseña, este llega a
acceder a una shell, Busybox en Ubuntu, con permisos de root. En otras
palabras, si un usuario presiona la tecla Intro durante aproximadamente 70
segundos (o teclea una contraseña en blanco 93 veces), dicho usuario puede
obtener acceso root a la shell de initramfs (initial RAM file system).
Este
fallo fue expuesto por el mismo hacker que encontró una manera de romper una
máquina Linux pulsando la tecla de retroceso 28 veces.
Aunque
este ataque no permite el acceso al contenido de la unidad cifrada, con la
ayuda de este ataque un hacker puede copiar, destruir o modificar el contenido
del disco duro. Por otra parte, puede configurar la máquina para filtrar datos.
Este escenario es muy peligroso en los cajeros automáticos, laboratorios,
máquinas de aeropuerto, entre otros lugares críticos.
Aparte
de las máquinas físicas, también puede aprovecharse este problema de forma
remota y hackear los servicios de Linux basadas en la nube. Este fallo afecta a
Ubuntu, Fedora, Debian, y muchas otras distribuciones de Linux.
¿Cómo corregir el fallo?
Es
necesario comprobar si las particiones están cifradas usando LUKS. Para ello debes
ejecutar el siguiente comando:
dmsetup status | awk ‘BEGIN
{FS=”:”} ; /crypt\s*$/ {print “Encrypted: ” $1}’
Este
comando te mostrará los nombres de las particiones cifradas. Si no ves ninguna
partición en la lista estás a salvo. Si estás afectado puedes ver si el
proveedor de la distribución de Linux ya dispone de un parche. Si no hay un
parche es necesario añadir las siguientes líneas a tu configuración de
arranque:
# sed –i 's/GRUB_CMDLINE_LINUX_DEFAULT="/GRUB_CMDLINE_LINUX_DEFAULT="panic=5
/' /etc/default/grub
Deja
tu comentario sobre lo que piensas de este fallo o si tienes alguna duda.
Ayúdame a difundir el post en las redes sociales.
Fuente:
Fossbytes