LinuxParty

Dos vulnerabilidades recientemente descubiertas exponen una amenaza real para los sistemas Linux, permitiendo a atacantes acceder a hashes de contraseñas almacenados en memoria. Te explicamos cómo funcionan y cómo protegerte.

Las contraseñas siguen siendo uno de los pilares fundamentales de la ciberseguridad. Protegen desde redes sociales hasta accesos críticos en servidores. Sin embargo, incluso en entornos considerados robustos como Linux, pueden surgir vulnerabilidades que pongan en riesgo estas credenciales tan sensibles. En esta ocasión, se han descubierto dos fallos de seguridad que podrían permitir la exposición de hashes de contraseñas a través de volcados de memoria, en ciertas distribuciones de Linux ampliamente utilizadas.

¿Qué vulnerabilidades se han descubierto?

El hallazgo proviene del equipo de investigación de amenazas de Qualys Threat Research Unit, quienes identificaron y reportaron dos vulnerabilidades críticas, registradas como:

• CVE-2025-5054: Afecta al componente Apport de Ubuntu, responsable de gestionar reportes de fallos.
• CVE-2025-4598: Afecta a systemd-coredump, presente en RHEL 9, RHEL 10 y Fedora 40/41.

Ambos fallos permiten a usuarios locales sin privilegios elevados explotar programas con el bit SUID (Set User ID) activado. Mediante ciertas técnicas, pueden provocar el volcado de memoria de procesos bloqueados y, posteriormente, analizar esos datos para extraer información sensible como los hashes de contraseñas almacenados en /etc/shadow.

Este ataque es posible a través de la herramienta unix_chkpwd, que está disponible por defecto en la mayoría de las distribuciones de Linux. Los investigadores demostraron que, bajo ciertas condiciones, se pueden recuperar estos hashes a partir del contenido del volcado de memoria, lo que supone un grave riesgo si no se corrige.

¿Por qué los volcados de memoria son peligrosos?

Los volcados de memoria —también llamados core dumps— son archivos generados cuando una aplicación falla, y su objetivo principal es facilitar la depuración por parte de los desarrolladores. El problema es que, en muchos casos, estos volcados pueden contener datos extremadamente sensibles: tokens de sesión, claves criptográficas, contraseñas y otras credenciales, especialmente si el programa afectado accedía a ellas en el momento del fallo.

Tanto Apport como systemd-coredump están diseñados para manejar automáticamente estos volcados. Pero si una de estas herramientas sufre una vulnerabilidad, puede convertirse en una fuente de filtración crítica.

Esto derriba uno de los mitos más comunes entre usuarios noveles de Linux: que el sistema es inmune a fallos de seguridad graves. En realidad, Linux es seguro si está bien configurado y actualizado, pero como cualquier software, no está exento de errores.

¿Qué sistemas están afectados?

• Ubuntu 16.04 a 24.04: Afectados por la vulnerabilidad de Apport hasta la versión 2.33.0.
• Fedora 40/41, RHEL 9 y RHEL 10: Afectados por la vulnerabilidad de systemd-coredump.
• Debian: En principio no se ve afectado, ya que no instala systemd-coredump por defecto.

¿Cómo proteger tu sistema?

Para mitigar esta amenaza, se recomiendan varias medidas:

1. Actualizar el sistema operativo y todos los paquetes: Tanto Canonical (Ubuntu) como Red Hat y Fedora ya han publicado parches para mitigar estas vulnerabilidades. Asegúrate de aplicar las actualizaciones de seguridad lo antes posible.

    

2. Deshabilitar volcados de memoria en programas SUID: Puedes hacerlo estableciendo el valor 0 en la siguiente ruta:

   echo 0 | sudo tee /proc/sys/fs/suid_dumpable
   

   Esto evitará que procesos con privilegios generen volcados que podrían ser explotados.

3. Revisar la configuración de herramientas de diagnóstico: Verifica cómo están configurados Apport o systemd-coredump en tu sistema. Si no los necesitas, deshabilítalos temporalmente.
4. Habilita la autenticación en dos pasos (2FA): Aunque estas vulnerabilidades son locales, una segunda capa de protección puede evitar accesos no autorizados incluso si alguien obtiene tus credenciales.
5. Supervisa los registros del sistema y haz auditoría periódica de accesos no autorizados, modificaciones sospechosas o generación de volcados de memoria.

Aunque estas amenazas requieren acceso local para su explotación, no deben ser subestimadas, especialmente en entornos compartidos o servidores de producción.