AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Fallos de divulgación de información en apport y systemd-coredump exponen datos sensibles en Linux

admin

Introducción

La investigación reciente realizada por la unidad de análisis de amenazas de Qualys (Threat Research Unit, TRU) ha sacado a la luz dos vulnerabilidades críticas de divulgación de información que afectan a los sistemas Linux, concretamente en las utilidades de manejo de volcados de memoria apport y systemd-coredump. Estas fallas, identificadas como CVE-2025-5054 y CVE-2025-4598, suponen un riesgo significativo para la confidencialidad de los datos en distribuciones ampliamente utilizadas como Ubuntu, Red Hat Enterprise Linux (RHEL) y Fedora. Dada su naturaleza y el alcance potencial, estos fallos requieren una atención inmediata por parte de los equipos de seguridad y administradores de sistemas.

Contexto del Incidente o Vulnerabilidad

Apport y systemd-coredump son herramientas esenciales en la gestión de volcados de memoria tras fallos de aplicaciones o servicios. Su función principal es recopilar información de depuración para análisis posterior, permitiendo a desarrolladores y equipos de soporte comprender el contexto de los errores. Sin embargo, la manipulación de estos volcados implica el tratamiento de datos potencialmente sensibles, como contraseñas en memoria, claves criptográficas o información personal identificable (PII), lo que convierte estos servicios en vectores críticos desde la perspectiva de la seguridad.

Las vulnerabilidades reportadas afectan a las versiones de Ubuntu que emplean apport como gestor de volcados, así como a RHEL y Fedora, donde el mecanismo predeterminado es systemd-coredump. En ambos casos, los fallos derivan de condiciones de carrera (race conditions) que pueden ser explotadas para acceder a volcados de memoria generados por procesos de otros usuarios.

Detalles Técnicos

CVE-2025-5054 y CVE-2025-4598 son vulnerabilidades de condición de carrera que permiten a un atacante local acceder a información sensible almacenada en volcados de procesos ajenos. El ataque se basa en la manipulación temporal de archivos temporales generados durante la creación del volcado de memoria. Si bien los detalles técnicos completos aún no han sido publicados, la explotación típica implica monitorizar la aparición de archivos de volcado y acceder a ellos antes de que el sistema imponga correctamente los permisos restrictivos.

Desde el punto de vista de TTPs (Tácticas, Técnicas y Procedimientos) según el marco MITRE ATT&CK, la explotación se alinea con la técnica T1005 (Data from Local System) y T1068 (Exploitation for Privilege Escalation), dado que el atacante puede obtener información sensible y, potencialmente, escalar privilegios si los volcados contienen credenciales o tokens de sesión.

En cuanto a indicadores de compromiso (IoC), es posible detectar intentos de explotación mediante la monitorización de accesos no autorizados a archivos de volcado, análisis de logs del sistema y correlación temporal entre la generación del volcado y el acceso por parte de procesos sospechosos. Herramientas como auditd y SIEMs configurados adecuadamente pueden ayudar a identificar estos patrones.

Impacto y Riesgos

El riesgo principal asociado a estos fallos es la exposición de información confidencial, lo que puede derivar en escalada de privilegios, acceso no autorizado a sistemas críticos y, en última instancia, brechas de seguridad con impacto en la continuidad de negocio y el cumplimiento normativo (p.ej., RGPD/GDPR o NIS2). En entornos multiusuario y sistemas compartidos, el potencial de impacto se multiplica, ya que un atacante podría obtener información de procesos ejecutados por otros usuarios o servicios privilegiados.

Según estimaciones preliminares, las versiones afectadas abarcan más del 70% de las instalaciones empresariales de Ubuntu, y cerca del 60% en RHEL y Fedora, dada la adopción generalizada de estos mecanismos de volcado en entornos productivos.

Medidas de Mitigación y Recomendaciones

Se recomienda actualizar inmediatamente los paquetes afectados a las versiones corregidas, que ya han sido liberadas por los equipos de seguridad de las principales distribuciones. Como medidas adicionales, se aconseja:

– Restringir el acceso a los directorios de volcados y limitar los permisos de lectura.
– Implementar políticas estrictas de control de acceso basadas en roles (RBAC).
– Monitorizar de forma proactiva la creación y acceso a archivos de volcado con herramientas como auditd, OSSEC o soluciones SIEM.
– Revisar y endurecer las configuraciones de los gestores de volcados en sistemas críticos, deshabilitando o limitando la generación de volcados cuando no sean imprescindibles.

Opinión de Expertos

Especialistas en ciberseguridad como Jamie Strandboge (Canonical) y Lukas Vrabec (Red Hat) subrayan la importancia de tratar los volcados de memoria como activos críticos y recomiendan una revisión exhaustiva de los procesos de manejo y almacenamiento de estos archivos. Destacan que la concienciación sobre la sensibilidad de la información contenida en los volcados sigue siendo insuficiente en muchas organizaciones, lo que facilita la explotación de estos vectores.

Implicaciones para Empresas y Usuarios

El incidente pone de relieve la necesidad de aplicar el principio de privilegio mínimo, especialmente en sistemas multiusuario y entornos cloud. Además, ante el endurecimiento de regulaciones como el RGPD y NIS2, la exposición de datos personales o confidenciales a través de mecanismos de volcado puede acarrear sanciones económicas significativas y dañar la reputación corporativa.

Conclusiones

Las vulnerabilidades CVE-2025-5054 y CVE-2025-4598 evidencian que incluso componentes considerados auxiliares, como los gestores de volcados de memoria, pueden convertirse en vectores de riesgo crítico si no se gestionan adecuadamente. La actualización inmediata, junto con una política de control de acceso robusta y una monitorización continua, son esenciales para mitigar el impacto. Este caso refuerza la importancia de la seguridad integral en todo el ciclo de vida del sistema, abarcando incluso aquellos procesos tradicionalmente relegados a un segundo plano.

(Fuente: feeds.feedburner.com)