Dos vulnerabilidades recientemente descubiertas en herramientas populares de manejo de errores en Linux podrían permitir a atacantes locales acceder a información altamente sensible, incluyendo hashes de contraseñas del sistema.
¿Qué se descubrió?
Investigadores revelaron fallos en los sistemas de gestión de volcados de memoria de Ubuntu y Red Hat Enterprise Linux (RHEL):
- CVE-2025-5054: afecta a Apport, el sistema de reporte de errores de Ubuntu.
- CVE-2025-4598: afecta a systemd-coredump, usado en RHEL 9 y 10, así como en Fedora 40/41.
Ambos fallos son vulnerabilidades de condición de carrera que pueden ser aprovechadas por usuarios locales con bajos privilegios para leer volcados de procesos con privilegios elevados (SUID), como unix _ chkpwd, lo que permite obtener los hashes almacenados en el archivo 1 / etc / shadow
¿Por qué es preocupante?
Los volcados de memoria (core dumps) son archivos que contienen el estado de un proceso en el momento en que falla. Estos archivos pueden incluir contraseñas, claves criptográficas u otra información sensible.
“Los manejadores de fallos siguen siendo un punto débil en la higiene de seguridad de Linux”, advirtió Jason Soroko, investigador.
“Estos descubrimientos demuestran cómo herramientas de depuración heredadas siguen presentes en entornos de producción sin rediseño alguno.”
En sus pruebas, el equipo de Qualys demostró cómo un atacante podría simplemente esperar a que un proceso con privilegios falle, correr una carrera contra el sistema de volcados y extraer datos sensibles sin generar alertas en la red.
¿Quiénes están afectados?
- Ubuntu: Todas las versiones desde 16.04 hasta 24.04 que usen Apport hasta la versión 2.33.0.
- RHEL 9 y 10, y Fedora 40/41: si tienen habilitado systemd-coredump.
Debian no está afectado por defecto, ya que no instala systemd-coredump de forma predeterminada.
¿Qué se recomienda hacer?
Para mitigar el riesgo, los administradores de sistemas deberían:
- Establecer / proc / sys / fs / suid _ dumpable en 0 para deshabilitar volcados de procesos SUID.
- Aplicar los parches de seguridad disponibles lo antes posible.
- Limitar el acceso a las herramientas de gestión de volcados.
- Cifrar volcados de memoria en tránsito y reposo.
- Borrar de forma segura estos archivos después del análisis.
“Los volcados de memoria deben tratarse como un canal de datos regulado, no como una conveniencia para desarrolladores,” concluyó Soroko.
Reflexión final
Este caso pone en evidencia que la seguridad no solo se juega en el perímetro o en la nube, sino también en los detalles internos del sistema operativo. Herramientas diseñadas para ayudar a los desarrolladores pueden volverse armas si no se controlan adecuadamente.
En tiempos donde cada credencial expuesta puede abrir la puerta a un incidente mayor, es vital revisar con lupa las configuraciones por defecto de los entornos Linux en producción.
