La vulnerabilidad encontrada, que también afecta a distribuidores de Linux como Debian, OPensSUSE, Arch Linux, Fedora y Solus, ha sido la siguiente:
- CVE-2019-7304
Conocida también como ‘Dirty Sock’, esta vulnerabilidad reside en la forma en que el mecanismo de control de acceso de las API REST, donde se encuentra el servicio predeterminado de empaquetado de Linux, ‘Snapd’, verifica el UID de usuario. El servicio de Snapd se instala automáticamente en Ubuntu y se ejecuta en el contexto de usuario ‘root’.
Snap aloja localmente un servidor web (socket UNIX AF) para ofrecer una lista de API RESTful que ayudan al servicio a realizar algunas acciones en el sistema operativo. Estas API REST vienen con control de acceso para definir permisos a nivel de usuario para tareas específicas. Por tanto, a cada usuario se le asigna un UID y permisos.
Un atacante podría explotar esta vulnerabilidad a través del fallo de seguridad en el sistema UID que permite el control de acceso de los usuarios a las funciones de API restringidas, lo que permitiría al atacante lanzar cualquier tipo de solicitud al sistema y obtener una escalada de privilegios y control del equipo vulnerable.
La corrección de esta vulnerabilidad se realiza a través de las actualizaciones lanzadas por Ubuntu Linux.
Recursos afectados
- Versiones Snapd 2.28 a 2.37
Medidas de mitigación
El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los últimos parches de seguridad tan pronto como sea posible para evitar la exposición a los ataques externos y la toma de control de los sistemas informáticos.
Para saber los snaps que están instalados en un equipo, tan solo es necesario utilizar la orden ‘snap list’, con la que además se puede saber la versión instalada, el número de versión, quien es el desarrollador del snap, así como las notas asociadas al mismo.
Los snaps se actualizan cada día de forma automática a la última versión en segundo plano, aunque también se puede hacer de forma manual ejecutando la orden ‘snap refresh’.