La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una nueva vulnerabilidad a su Catálogo de vulnerabilidades conocidas (KEV), lo que indica un uso indebido generalizado y otorga a las agencias federales una fecha límite para aplicar parches.
La vulnerabilidad se describe como una falla de “uso después de la liberación”, que existe en el kernel de Linux desde la versión 5.14.21 hasta la versión 6.6.14. Distribuciones populares de Linux Sistemas como Debian y Ubuntu parecen ser particularmente vulnerables.
Una vulnerabilidad de “uso después de liberar” es un tipo de error de corrupción de memoria que ocurre cuando un programa continúa usando un puntero después de liberar la memoria a la que apunta. Esto puede provocar muchos comportamientos inesperados, incluidos fallos, corrupción de datos y, lo más importante, violaciones de seguridad como la ejecución de código arbitrario.
hora de corregir
En este escenario particular, los actores de amenazas podrían aprovechar la vulnerabilidad para lograr una escalada de privilegios local, otorgando privilegios de administrador a los usuarios con acceso principal.
La buena noticia es que las versiones del kernel 6.4 y posteriores, con configuraciones específicas (como CONFIG_INIT_ON_ALLOC_DEFAULT_ON=y) no parecen verse afectadas. Además, la explotación requiere habilitar espacios de nombres de usuario y nf_tables, que son la configuración predeterminada en muchas distribuciones.
A la vulnerabilidad se le ha otorgado una puntuación CVSS de 7,8, lo que indica una alta gravedad. Sin embargo, los parches para la mayoría de las distribuciones estuvieron disponibles en febrero de 2024, lo que significa que hay disponible una solución rápida y sencilla, y no se necesitan soluciones alternativas complejas.
Con la última incorporación al catálogo KEV, las agencias federales tienen hasta el 20 de junio para aplicar el parche y proteger sus edificios, o dejar de usar el software vulnerable por completo.
Si bien CISA normalmente advierte exclusivamente a las agencias gubernamentales, esto no significa que las organizaciones del sector privado deban ignorar la advertencia. En cambio, todos los usuarios de Linux deben asegurarse de evitar ejecutar núcleos vulnerables, ya que muchos actores de amenazas no serán particularmente selectivos cuando se trata de sus objetivos.