Nuevas vulnerabilidades en Linux permiten robar el hash de contraseñas desde core dumps
Dos fallos de divulgación de información descubiertos por Qualys en los manejadores de core dumps de Linux —apport en Ubuntu y systemd-coredump en Red Hat Enterprise Linux (RHEL) 9/10 y Fedora— han sido catalogados como CVE-2025-5054 y CVE-2025-4598. Un atacante local podía forzar el volcado de memoria de un programa SUID y, antes de que se restringieran los permisos del archivo, leer el contenido para extraer hashes de /etc/shadow, lo que abre la puerta a la elevación de privilegios tras su criptoanálisis.
¿En qué consisten los fallos?
- CVE-2025-5054 afecta a apport (hasta 2.32.0). Aprovecha que el demonio, al procesar un PID reutilizado en un namespace de usuario, crea temporalmente el core dump con permisos amplios.
- CVE-2025-4598 impacta a systemd-coredump cuando gestiona volcados de procesos privilegiados: un micro-intervalo entre la creación y el cambio de dueño del archivo permite leerlo.
En ambos casos, basta con inyectar cargas que provoquen un crash controlado de un binario SUID para capturar credenciales. Un atacante que descifre el hash de root puede después encadenar la falla con técnicas habituales de post-exploitation, como la sustitución de binarios o la carga de módulos del kernel, logrando un compromiso completo del sistema.
Versiones afectadas y parches
- Ubuntu 22.04 LTS, 23.10 y 24.04 LTS (con apport instalado por defecto) — actualizar a los paquetes publicados el 30 de mayo de 2025. Ubuntu
- RHEL 9 / 10 y Fedora 40 y 41 — actualizar systemd a las revisiones liberadas el 31 de mayo de 2025 (consultar RHSA correspondientes).
- Otras distribuciones que usen systemd-coredump deberían incorporar el patch aguas arriba.
Impacto potencial
Aunque la explotación requiere acceso local, en entornos multitenant (p.e. servidores compartidos, containers con namespaces) el vector resulta especialmente crítico. Además, la exposición de hashes facilita ataques de credential stuffing contra servicios donde se reutilicen contraseñas. Este escenario recuerda a otras vulnerabilidades en Linux que parten de privilegios limitados para escalar a root.
Recomendaciones
- Aplicar las actualizaciones de apport o systemd según la distribución.
- Mientras se parchea, deshabilitar temporalmente los core dumps (
ulimit -c 0osystemd-coredump.conf Storage=none). - Restringir el uso de binarios SUID innecesarios y auditar su ejecución con auditd.
- Supervisar accesos a
/var/lib/apport/y/var/lib/systemd/coredump/en busca de lecturas no autorizadas.
Más información
- The Hacker News – New Linux Flaws Allow Password Hash Theft via Core Dumps in Ubuntu, RHEL, Fedora (31 may 2025)
https://thehackernews.com/2025/05/new-linux-flaws-allow-password-hash.html - Ubuntu – apport local information-disclosure vulnerability fixes available (30 may 2025)
https://ubuntu.com/blog/apport-local-information-disclosure-vulnerability-fixes-available - Red Hat – RHSA advisories para systemd-coredump (jun 2025)
https://access.redhat.com/security/vulnerabilities
La entrada Nuevas vulnerabilidades en Linux permiten robar el hash de contraseñas desde core dumps se publicó primero en Una Al Día.
Powered by WPeMatico
