El US-CERT emitió hoy un aviso advirtiendo a los usuarios de una nueva y peligrosa vulnerabilidad de ejecución remota de código de 17 años que afecta a la demonio PPP (pppd) software que viene instalado en casi todos los sistemas operativos basados en Linux, así como alimenta el firmware de muchos otros dispositivos de red.
El software pppd afectado es una implementación del protocolo punto a punto (PPP) que permite la comunicación y la transferencia de datos entre nodos, que se utiliza principalmente para establecer enlaces de Internet, como módems de acceso telefónico, conexiones de banda ancha DSL y redes privadas virtuales.
Descubierto por el investigador de seguridad IOActive Ilja Van Sprundelel problema crítico es una vulnerabilidad de desbordamiento del búfer de pila que existe debido a un error lógico en el analizador de paquetes del Protocolo de autenticación extensible (EAP) del software pppd, una extensión que brinda soporte para métodos de autenticación adicionales en conexiones PPP.
La vulnerabilidad, rastreada como CVE-2020-8597 con CVSS Score 9.8, puede ser explotado por atacantes no autenticados para ejecutar de forma remota código arbitrario en los sistemas afectados y tomar el control total sobre ellos.
Para esto, todo lo que un atacante necesita hacer es enviar un paquete EAP malformado no solicitado a un cliente ppp vulnerable o a un servidor a través de un enlace serie directo, ISDN, Ethernet, SSH, SOcket CAT, PPTP, GPRS o redes ATM.
Además, dado que pppd a menudo se ejecuta con altos privilegios y funciona junto con los controladores del kernel, la falla podría permitir a los atacantes ejecutar potencialmente código malicioso con el sistema o privilegios de nivel raíz.
«Esta vulnerabilidad se debe a un error al validar el tamaño de la entrada antes de copiar los datos proporcionados en la memoria. Como la validación del tamaño de los datos es incorrecta, se pueden copiar datos arbitrarios en la memoria y causar daños en la memoria, lo que posiblemente provoque la ejecución de código no deseado», dice el aviso.
«La vulnerabilidad está en la lógica del código de análisis de eap, específicamente en las funciones eap_request () y eap_response () en eap.c que son llamadas por un controlador de entrada de red».
«Es incorrecto suponer que pppd no es vulnerable si EAP no está habilitado o EAP no ha sido negociado por un par remoto utilizando un secreto o frase de contraseña. Esto se debe al hecho de que un atacante autenticado aún puede enviar EAP no solicitado paquete para activar el desbordamiento del búfer».
Error de pppd: sistemas operativos y dispositivos afectados
Según el investigador, las versiones 2.4.2 a 2.4.8 de Point-to-Point Protocol Daemon, todas las versiones lanzadas en los últimos 17 años, son vulnerables a esta nueva vulnerabilidad de ejecución remota de código.
Algunas de las distribuciones de Linux populares y ampliamente utilizadas, que se enumeran a continuación, ya han sido afectadas, y es probable que muchos otros proyectos también se vean afectados.
Además de esto, la lista de otras aplicaciones y dispositivos vulnerables (algunos de ellos se enumeran a continuación) que envían el software pppd también es probablemente extensa, lo que abre una gran superficie de ataque para los piratas informáticos.
Se recomienda a los usuarios con sistemas operativos y dispositivos afectados que apliquen parches de seguridad lo antes posible o cuando estén disponibles.
En el momento de escribir este artículo, The Hacker News no tiene conocimiento de ningún código de explotación de prueba de concepto público para esta vulnerabilidad ni de ningún intento de explotación en estado salvaje.
