Para una vulnerabilidad que fue revelada hace un poco más de cinco meses encontrada en sistemas operativos basados en Unix, fue desarrollado un exploit que la aprovecha y puede llegar a comprometer la información de usuarios Linux y Mac OS X.
Durante marzo de este año fue revelada la vulnerabilidad CVE-2013-1775 encontrada en el uso del comando SUDO. El uso de este comando permite a un usuario tener permisos de “root” sobre el sistema operativo, obviamente ingresando la contraseña de usuario. Esta vulnerabilidad permite obtener los permisos que otorga este comando haciendo un restablecimiento de la fecha y hora del sistema operativo, sin necesidad de la contraseña.
La vulnerabilidad afecta a las versiones de SUDO entre la 1.6.0 y la 1.7.10p6 y entre la 1.8.0 y 1.8.6p6 inclusive. Si bien este componente está diseñado para requerir una contraseña antes de conceder los privilegios de “súper usuario”, tales como el acceso a los archivos de otros usuarios o modificar características del sistema operativo, la vulnerabilidad permite obtener el acceso sensible al restablecer el reloj de la computadora del 1 de enero de 1970.
Los usuarios de sistemas operativos Mac OS X tienen un mayor nivel de riesgo ante esta vulnerabilidad, pues este sistema operativo no impone restricciones al cambio de fecha y hora, mientras que los sistemas operativos Linux si cuentan con una restricción de contraseña para ejecutar este tipo de cambios. Recientemente los desarrolladores de Metasploit incluyeron un módulo en sus herramientas de seguridad que permite atacar esta vulnerabilidad en los sistemas operativos Mac.
Hay algo importante de resaltar, y es que para que esta vulnerabilidad se pueda explotar se debe cumplir un par de condiciones. La primera es que el usuario de la sesión activa tenga permisos de administrador y además este usuario ya debe haber ejecutado en algún momento el comando sudo. Además el atacante debe tener acceso físico a la máquina para poder ejecutar las instrucciones. Aún así es importante hacer notar que este exploit podría ser utilizado con algún otro tipo de ataque para lograr mayores daños.
Una forma alternativa para impedir que esta vulnerabilidad pueda ser aprovechada es utilizar los comandos sudo –K o sudo –k para eliminar el historial que deja este comando en el sistema y de esta forma no pueda ser aprovechado por algún atacante.
Esta nueva vulnerabilidad deja claro que independiente del sistema operativo cualquier usuario, si no toma las medidas de protección adecuadas, puede ver comprometida la seguridad de su información. Si bien aún es común escuchar algunos usuarios que dicen que sistemas operativos como MAC OS X o Linux no son atacados, el exploit presentado demuestra que se podrían desarrollar códigos maliciosos que afecten a cualquier usuario.
Ya durante el año pasado 40.000 equipos fueron infectados con Flashback en Latinoamérica, así que es necesario que los usuarios tomen conciencia de los riesgos a los cuales pueden verse expuestos y tomen las medidas de protección necesarias para garantizar la seguridad de su información.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
