Un investigador de seguridad ha revelado un fallo crítico de ejecución remota de código en Linux APT, cuya explotación podría haberse mitigado si el administrador de descargar de software estuviera utilizando estrictamente HTTPS para comunicarse de forma segura.
La vulnerabilidad llega en un momento que los expertos en ciberseguridad están sugiriendo a los desarrolladores de software que solo confíen en la verificación de paquetes basados en firmas.
Descubierta por Max Justicz, la vulnerabilidad etiquetada como CVE-2019-3462 reside en el administrador APT, un sistema de gestión de paquetes creado por el proyecto Debian que facilita la instalación de software y es utilizada ampliamente por distribuciones GNU/Linux derivadas como Ubuntu y otras.
Según Justicz, las versiones vulnerables de APT no manejan correctamente ciertos parámetros durante las redirecciones HTTP, lo que permitiría a un atacante remoto utilizar ataques man-in-the-middle para inyectar contenido malicioso y engañar al sistema para que instale paquetes alterados.
Los redireccionamientos HTTP al usar apt-get command ayudan a las máquinas Linux a solicitar paquetes de un servidor espejo adecuado cuando otros no están disponibles. Si el primer servidor falla, devuelve una respuesta con la ubicación del siguiente servidor desde donde el cliente debe solicitar el paquete.
El investigador ha demostrado en vídeo como un atacante que intercepta el tráfico HTTP entre la utilidad APT y un servidor espejo, o simplemente un espejo malicioso, podría ejecutar un código arbitrario en el sistema de destino con el nivel más alto de privilegios, root.
A juicio de The Hacker News, el caso muestra que más allá de debates lo ideal sería utilizar todas las capas de seguridad disponibles y con éste en particular, la verificación basada en firmas y también HTTPS para proteger la integridad de los paquetes de software.
Los desarrolladores de APT ya han publicado la versión 1.4.9 que aborda el problema y distribuciones como Debian y Ubuntu han lazado parches de seguridad, por lo que se remienda a los usuarios de Linux la actualización de sus sistemas lo antes posible.
Fuente:https://www.muyseguridad.net