Amazon Web Services (AWS) ha publicado el boletín de seguridad AWS-2025-025 para corregir la vulnerabilidad CVE-2025-12779 (CVSS 8.8, Alto). Esta falla afecta al cliente de WorkSpaces para Linux, en versiones 2023.0 a 2024.8, y permite a un atacante local con privilegios bajos secuestrar la sesión de otro usuario que comparta la misma máquina cliente.
Secuestro de Sesión en WorkSpaces para Linux
La vulnerabilidad radica en el manejo inseguro del token de autenticación por parte del cliente WorkSpaces Linux en sesiones basadas en DCV (escritorio remoto).
Mecanismo y Riesgo
- Vector: Un usuario local con privilegios bajos puede extraer y reutilizar el token de autenticación de otro usuario que haya accedido previamente a WorkSpaces desde la misma máquina cliente Linux.
- Impacto: El atacante logra el secuestro de sesión y puede acceder al entorno de escritorio remoto de la víctima sin necesidad de su contraseña (acceso cross-user).
- Movimiento Lateral y Evasión: El secuestro de sesión permite al atacante acceder a aplicaciones y datos con los permisos de la víctima. Las herramientas de detección tradicionales pueden fallar, ya que la sesión en el servidor WorkSpaces parece legítima (el token es válido).
- Entornos de Alto Riesgo: Esto es especialmente peligroso en laboratorios, estaciones de trabajo compartidas, hosts multiusuario o entornos VDI donde varias cuentas de usuario local acceden al mismo cliente WorkSpaces.
Recomendaciones
- Actualización y Parcheo
- Actualizar Inmediatamente: Revisar todos los hosts cliente Linux con el software WorkSpaces instalado y actualizar inmediatamente a la versión 2025.0 o superior.
- Inventario: Identificar todos los endpoints Linux que utilizan WorkSpaces, especialmente los compartidos, y verificar su versión.
- Hardeningdel Endpoint y Sesión
- Cuentas Separadas: Evitar que múltiples usuarios accedan al cliente WorkSpaces desde la misma cuenta local en el host Linux; forzar cuentas de usuario separadas con mínimo privilegio.
- Control de Acceso: Implementar Autenticación Multifactor (MFA) para las sesiones de WorkSpaces.
- Higiene de Sesión: Asegurar que las sesiones se cierren correctamente cuando el usuario finaliza la actividad y que el host Linux elimine tokens o datos de sesión residuales.
- Permisos de Archivo: Establecer permisos de archivo adecuados para la instalación del cliente WorkSpaces y para cualquier almacenamiento de token (SELinux/AppArmor).
- Monitoreo y Auditoría
- Alertas Inusuales: Habilitar logs de acceso de WorkSpaces para generar alertas de conexiones inusuales (hora, geolocalización) o actividad sin autorización (descargas masivas) que puedan indicar que un token fue reutilizado.
- Plan de Respuesta: Integrar un runbook que contemple la revocación inmediata de sesiones comprometidas y la verificación de integridad del entorno WorkSpaces en caso de sospecha.
