Investigadores han revelado una vulnerabilidad crítica en una herramienta utilizada por defecto en Ubuntu Linux desde 2021, la cual permite a atacantes obtener privilegios de administrador. Lo más alarmante es que estos fallos se remontan a una versión lanzada hace más de 10 años, en 2014.
La
amenaza oculta en needrestart
La herramienta afectada, conocida como needrestart, tiene un propósito crucial
en el mantenimiento de sistemas Linux: identificar servicios que necesitan ser
reiniciados tras actualizaciones de paquetes para garantizar que se ejecuten
con las bibliotecas más recientes. Sin embargo, cinco fallos de seguridad en
esta utilidad, identificados como CVE-2024-48990,
CVE-2024-48991, CVE-2024-48992, CVE-2024-10224
y CVE-2024-11003, han dejado
expuestos a los usuarios.
Descubiertos por expertos en seguridad de Qualys,
estos fallos permiten a atacantes con acceso local escalar privilegios hasta el
nivel de root, el máximo en cualquier
sistema Linux. Esto significa que un atacante podría tomar el control total de
un sistema comprometido sin necesidad de interacción del usuario.
Entre los métodos de ataque documentados se incluyen:
- Manipulación de variables de entorno como PYTHONPATH y RUBYLIB, que permiten la ejecución de código malicioso durante la inicialización de los intérpretes de Python y Ruby.
- Un fallo en el módulo ScanDeps de Perl, que permite ejecutar comandos arbitrarios al procesar nombres de archivo maliciosos.
- Una condición de carrera que permite reemplazar el intérprete de Python validado por needrestart con un ejecutable malicioso.
¿Cómo
protegerse?
Google y otras entidades han recomendado soluciones
inmediatas:
- Actualizar a la versión
3.8 de needrestart o posterior, donde se han corregido los fallos.
- Modificar el archivo de configuración needrestart.conf para desactivar el escaneo de intérpretes, añadiendo la línea:
$nrconf{interpscan} = 0;
Aunque los ataques requieren acceso local al sistema,
la naturaleza crítica de esta herramienta en entornos empresariales y
servidores hace que estas vulnerabilidades no deban ser tomadas a la ligera.
La comunidad Linux sigue en alerta, recordando que incluso las herramientas más confiables pueden ocultar riesgos insospechados durante años.
Miles de sistemas Linux han sido infectados por sigiloso malware desde 2021