Novas falhas no Linux permitem roubo de hash de senha por meio de dumps de núcleo no Ubuntu, RHEL e Fedora
A Qualys Threat Research Unit (TRU) identificou duas vulnerabilidades críticas nos manipuladores de core dumps Apport e systemd-coredump, utilizados em distribuições Linux como Ubuntu, Red Hat Enterprise Linux (RHEL) e Fedora13. Essas falhas, registradas como CVE-2025-5054 e CVE-2025-4598, são condições de corrida (race conditions) que podem permitir que um atacante local acesse informações sensíveis, incluindo hashes de senhas do arquivo /etc/shadow3.
Neste artigo, exploraremos os detalhes técnicos dessas vulnerabilidades, seu impacto potencial e as medidas de mitigação recomendadas para proteger sistemas Linux.
Detalhes técnicos das vulnerabilidades
1. CVE-2025-5054 (Apport – CVSS 4.7)
-
O que é? Uma condição de corrida no pacote Apport (versões até 2.32.0) que permite vazar dados sensíveis via reutilização de PID (PID-reuse) em namespaces13.
-
Como funciona?
-
O Apport verifica se um processo em crash estava em um container antes de analisá-lo.
-
Um atacante pode induzir a queda de um processo privilegiado e substituí-lo rapidamente por um processo malicioso com o mesmo PID dentro de um namespace diferente.
-
Isso faz com que o Apport envie o core dump (contendo dados sensíveis do processo original) para o namespace controlado pelo invasor3.
-
2. CVE-2025-4598 (systemd-coredump – CVSS 4.7)
-
O que é? Uma condição de corrida no systemd-coredump que permite a um atacante forçar um processo SUID a travar e substituí-lo por um binário não-SUID para acessar seu core dump privilegiado13.
-
Impacto:
-
Permite a leitura de dados sensíveis carregados pelo processo original, como conteúdo do /etc/shadow (onde hashes de senha são armazenados)3.
-
Requer que o invasor ganhe a condição de corrida e já possua uma conta local não privilegiada3.
-
O que é SUID e Por que é um Alvo?
-
SUID (Set User ID) é uma permissão especial que permite que um usuário execute um programa com as permissões do proprietário do arquivo (geralmente root)3.
-
Processos SUID são alvos valiosos porque podem acessar dados restritos, como credenciais de sistema.
Impacto no mundo real
1. Vazamento de hashes de senha
-
A Qualys desenvolveu um código de prova de conceito (PoC) mostrando como explorar o coredump do unix_chkpwd (usado para verificar senhas) para extrair hashes do /etc/shadow3.
-
Embora a Canonical afirme que o impacto do CVE-2025-5054 seja limitado, hashes vazados podem ser quebrados offline usando técnicas como força bruta ou rainbow tables1.
2. Riscos adicionais
-
Chaves de criptografia e dados confidenciais de clientes podem ser extraídos de core dumps3.
-
Consequências para empresas:
-
Tempo de inatividade operacional
-
Danos à reputação
-
Riscos de não conformidade com regulamentações (ex: GDPR, LGPD)3.
-
Medidas de mitigação
1. Aplicar atualizações de segurança
-
Ubuntu/Debian:
sudo apt update && sudo apt upgrade
-
RHEL/CentOS:
sudo yum update -
Fedora:
sudo dnf upgrade
2. Desativar core dumps para binários SUID
Execute como root:
echo 0 > /proc/sys/fs/suid_dumpable
Isso impede que processos SUID gerem core dumps em caso de crash3.
3. Restringir o uso de SUID/SGID
-
Revise binários com permissões SUID:
find / -perm -4000 -type f -exec ls -la {} \;
-
Remova permissões desnecessárias:
chmod u-s /caminho/do/binario
4. Monitorar acessos ao /etc/shadow
-
Use ferramentas como auditd para registrar acessos não autorizados:
sudo auditctl -w /etc/shadow -p rwa -k shadow_access
5. Implementar autenticação multifator (MFA)
-
Reduza o risco de credenciais comprometidas exigindo MFA para acesso crítico.
Conclusão
As vulnerabilidades no Apport e systemd-coredump representam um risco significativo para sistemas Linux, especialmente em ambientes multiusuário. Embora a exploração exija acesso local, organizações devem aplicar patches imediatamente, restringir permissões SUID e monitorar atividades suspeitas para mitigar riscos.
A segurança proativa é essencial para evitar vazamentos de dados, danos à reputação e penalidades regulatórias. Mantenha-se atualizado e proteja sua infraestrutura antes que cibercriminosos explorem essas brechas.
Fonte e imagens: https://thehackernews.com/2025/05/new-linux-flaws-allow-password-hash.html
