miércoles, 16 de noviembre de 2016

Fallo permite tomar el control un sistema Linux manteniendo presionada la tecla enter

Debido a una falla en el servicio de cifrado Cryptsetup, un hacker puede obtener acceso a la consola de root en un sistema Linux manteniendo presionada la tecla Intro durante 70 segundos.  


Si bien es cierto que el atacante no puede acceder directamente a los archivos cifrados, este puede copiar, destruir o modificar el contenido del disco duro. Este fallo se puede solucionar mediante la aplicación de parches o la adición de unas pocas líneas de código para la configuración del arranque.


Este mes debería llamarse “Hackeado en segundos”. Esto porque hemos sido testigos de cómo se hackeó Microsoft Edge en 18 segundos en el PwnFest, además de ver situaciones similares en el teléfono Pixel de Google y Adobe Flash. Pero también el mundo del código abierto y Linux no se ha quedado atrás.

Fallo permite tomar el control un sistema Linux manteniendo presionada la tecla Enter

Debido a un fallo en la implementación de la utilidad Cryptsetup que se utiliza para el cifrado de discos duros a través de Linux Unified Key Setup (LUKS), un atacante puede obtener acceso al intérprete de comandos de Linux, solamente manteniendo pulsada la tecla Enter durante 70 segundos. Cryptsetup se ve afectada por un error de diseño que permite probar diferentes contraseñas.




Una vez que el atacante ha utilizado los 93 intentos de contraseña, este llega a acceder a una shell, Busybox en Ubuntu, con permisos de root. En otras palabras, si un usuario presiona la tecla Intro durante aproximadamente 70 segundos (o teclea una contraseña en blanco 93 veces), dicho usuario puede obtener acceso root a la shell de initramfs (initial RAM file system).

Este fallo fue expuesto por el mismo hacker que encontró una manera de romper una máquina Linux pulsando la tecla de retroceso 28 veces.

Aunque este ataque no permite el acceso al contenido de la unidad cifrada, con la ayuda de este ataque un hacker puede copiar, destruir o modificar el contenido del disco duro. Por otra parte, puede configurar la máquina para filtrar datos. Este escenario es muy peligroso en los cajeros automáticos, laboratorios, máquinas de aeropuerto, entre otros lugares críticos.

Aparte de las máquinas físicas, también puede aprovecharse este problema de forma remota y hackear los servicios de Linux basadas en la nube. Este fallo afecta a Ubuntu, Fedora, Debian, y muchas otras distribuciones de Linux.

¿Cómo corregir el fallo?
Es necesario comprobar si las particiones están cifradas usando LUKS. Para ello debes ejecutar el siguiente comando:

dmsetup status | awk ‘BEGIN {FS=”:”} ; /crypt\s*$/ {print “Encrypted: ” $1}’

Este comando te mostrará los nombres de las particiones cifradas. Si no ves ninguna partición en la lista estás a salvo. Si estás afectado puedes ver si el proveedor de la distribución de Linux ya dispone de un parche. Si no hay un parche es necesario añadir las siguientes líneas a tu configuración de arranque:

# sed –i 's/GRUB_CMDLINE_LINUX_DEFAULT="/GRUB_CMDLINE_LINUX_DEFAULT="panic=5 /' /etc/default/grub

Para obtener información detallada puedes visitar la página web de Hector Marco.

Deja tu comentario sobre lo que piensas de este fallo o si tienes alguna duda. Ayúdame a difundir el post en las redes sociales.

Fuente: Fossbytes 

No hay comentarios.:

Publicar un comentario

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.