Cryptsetup está basado en el módulo del kernel Linux dm-crypt, que generalmente se encuentra implementado en las distribuciones Debian y Ubuntu. Los investigadores, Hector Marcos de la Universidad de West of Scotland e Ismael Ripoll de la Universidad Politécnica de Valencia, descubrieron la vulnerabilidad la semana pasada y avisaron de que cualquier ordenador que use la herramienta de cifrado de particiones en disco puede ser vulnerable. Ambas personas expusieron su descubrimiento en una conferencia de seguridad que se celebró en Austria.

Según los investigadores, la vulnerabilidad, que tiene como código CVE-2016-4484, afecta a la versión 2:1.7.2-3 y anteriores de crypsetup de la distribución Debian. Los sistemas que utilizan Dracut, una infraestructura comúnmente implementada en Fedora como sustituto de initramfs (RAM file system directory), también son vulnerables. Esto significa que otras distribuciones que no sean Debian, Ubuntu y derivadas también pueden estar afectadas, aunque los investigadores aquí han reconocido que no han hecho pruebas.

El problema radica en un manejo incorrecto de la comprobación de la contraseña cuando una partición es cifrada con LUKS (Linux Unified Key Setup), una especificación de cifrado de disco que es un estándar en Linux. Después de que el usuario haya excedido el máximo de tres intentos permitidos para introducir la contraseña correcta, se puede ver que el sistema se inicia de forma normal. Otro script en la utilidad, en vez de esto, realiza un inicio de una shell Busybox. Después de hacer uso del exploit, el atacante puede tener acceso a root en initramfs o a la shell de rescate.

Una vez que la shell puede ser ejecutada en el entorno de initrd (initial RAM disk), se abre la puerta a posibles ataques como escaladas de privilegios, filtración de la información e incluso denegación de servicio. Los investigadores avisan que la vulnerabilidad es especialmente peligrosa en situaciones públicas, como bibliotecas, cajeros automáticos, máquinas de aeropuertos y laboratorios, donde el proceso de arranque está protegido a través de contraseñas en la BIOS y Grub.

Por su parte, los atacantes necesitarían tener acceso físico al teclado y el ratón para llevar a cabo los ataques en la mayoría de los casos. Sin embargo, los investigadores avisan de que los entornos en la nube, sector donde Ubuntu tiene mucha presencia, son vulnerables incluso sin necesidad de tener acceso físico a la computadora. Los usuarios pueden corregir la vulnerabilidad modificando directamente el fichero /scripts/local-top/cryptroot, suspendiendo así su ejecución para siempre.

Los mantenedores de Debian han propuesto una solución provisional mientras investigan y desarrollan otra definitiva que impida la explotación de esta vulnerabilidad.

 

Fuente: ThreatPost | muyseguridad