El grupo de investigación Qualys detectó una vulnerabilidad en el
sistema de archivos de Linux que permite a los atacantes una elevación
de privilegios. Ha sido denominada Sequoia.
La vulnerabilidad ha recibido este nombre debido a la forma en que se
realiza la explotación del sistema de ficheros, creando una estructura
de más de un millón de carpetas anidadas, haciendo la analogía al
crecimiento de una secuoya.
Se ha verificado que esta vulnerabilidad afecta a las versiones
20.04, 20.10 y 21.04 de Ubuntu, Debian 11 y Fedora 34 Workstation. Otras
distribuciones de Linux son vulnerables y probablemente explotables.
La metodología de ataque requiere que un usuario sin privilegios cree una estructura profunda de alrededor de un millón de directorios anidados,
y posteriormente montar y desmontar un dispositivo. Para más
información detallada de la explotación, consultar la seccción de Explotation overview explicada por el grupo de investigación Qualys.
El día 20 de Julio se lanzó un parche en la versión 5.13.4 del kernel de Linux que soluciona la vulnerabilidad.
Este grupo de investigación también ha detectado otra vulnerabilidad en los últimos días con el identificador CVE-2021-33910. Esta vulnerabilidad afecta a systemd que permite una denegación de servicio.
Se
acaba de publicar la versión 2.4.21 del kernel Linux, que da solución a
numerosos problemas de seguridad anunciados en las últimas semanas.Las
vulnerabilidades eliminadas son, al menos, las siguientes:* Obtención de
privilegios de administrador "root" utilizando lasfuncionalidades
"ptrace".* Ataque de denegación de servicio por colisiones en la
estructuraHASH de…
Unos hackers han conseguido desviar unos 611 millones de dolares en
diferentes criptomonedas de una red financiera basada en Blockchain,
aprovechándose de vulnerabilidades en su código.
El pasado 10 de agosto, el twitter de Poly Network anunciaba que su plataforma había sido comprometida, y que parte de sus activos habían sido transferidos a una serie de direcciones controladas por el atacante:
Poly Network es una plataforma descentralizada que para el
intercambio de tokens o cryptomonedas entre diferentes blockchains, como
pueden ser Ethereum, Binance Smart Chain, Polygon, etc. Mediante una
red de bloques propia y smart contracts desplegados en las redes
participantes, permite la transferencia segura de activos entre las
mismas.
Una transferencia de tokens entre dos blockchains consiste, por un
lado, en el bloqueo de los activos en la red de origen, y posteriormente
transferirlos a la cuenta en la red de destino. Este proceso requiere
que los diferentes contratos dispongan de liquidez suficiente en la red
de destino, que fue el objetivo del atacante.
Aunque en un principio se rumoreaba que las claves privadas de Poly Network habían sido filtradas, un análisis realizado por la empresa china SlowMist determinó que la causa del hackeo fue una vulnerabilidad en el código de los smart contracts que gestionan las llamadas entre cadenas, en concreto, la función _executeCrossChainTx del contrato EthCrossChainManager.
Tanto el contrato llamado, como su método o los aragumentos no son
verificados adecuadamente y están bajo el control del usuario. Es
posible, por tanto, realizar llamadas arbitrarias a otras funciones,
obteniendo un nombre de método, mediante un proceso de fuerza bruta,
cuya firma colisione con la de la función que se quiere llamar.
En las transacciones realizadas durante el ataque, se comprueba que
el objetivo fue reemplazar la clave pública que controla el desbloqueo
de fondos. Aunque ésta se encuentra definido en otro contrato, EthCrossChainData, su propietario es el contrato vulnerable. Una
vez reemplazado, es posible realizar transacciones que envíen
cantidades arbitrarias de fondos a cualquier dirección, que es lo que
hizo el atacante.
Dada la repercusión que ha tenido este robo, el más grande del que se
tiene referencia, y la dificultad de llegar a disfrutar de los fondos
obtenidos, el hacker o grupo ha decidido devolver los tokens sustraidos.
Como ocurre con otras tecnologías, es fundamental auditar
adecuadamente el código de aplicaciones críticas, especialmente cuando
se confian en ellas cantidades de dinero tan elevadas.
Para los interesados en la auditoría de smart contracts, en la plataforma de retos Una al Mes (UAM) disponemos de un reto de iniciación.