En el mundo de la ciberseguridad, un nuevo hallazgo ha encendido las alarmas. Investigadores de la Universidad Tecnológica de Graz han descubierto una técnica de explotación del kernel de Linux, bautizada como SLUBStick, que podría permitir a atacantes escalar vulnerabilidades limitadas del heap a una primitiva de lectura y escritura de memoria arbitraria.
SLUBStick, según los expertos, explota un canal lateral de tiempo en el asignador de memoria para ejecutar un ataque inter-cache de manera extremadamente fiable. «La explotación de esta fuga de canal lateral eleva la tasa de éxito a más del 99% en cachés genéricos de uso frecuente», explican los investigadores en su informe.
Este descubrimiento es especialmente preocupante dado que las vulnerabilidades de seguridad de memoria en el kernel de Linux generalmente son difíciles de explotar, gracias a robustas medidas de seguridad como la Prevención de Acceso en Modo Supervisor (SMAP), la aleatorización del espacio de direcciones del kernel (KASLR) y la integridad del flujo de control del kernel (kCFI). Hasta ahora, los ataques inter-cache de software se habían considerado una estrategia para contrarrestar estas defensas, aunque con una tasa de éxito de solo el 40%.
Sin embargo, SLUBStick ha demostrado su eficacia en las versiones 5.19 y 6.2 del kernel de Linux, utilizando nueve fallos de seguridad identificados entre 2021 y 2023, como la doble liberación, el uso después de liberación y la escritura fuera de límites. Estas vulnerabilidades han permitido a los investigadores lograr una escalada de privilegios a nivel root sin necesidad de autenticación y la evasión de contenedores.
El núcleo de la técnica SLUBStick reside en su capacidad para modificar datos del kernel y obtener una primitiva de lectura y escritura de memoria arbitraria, superando defensas avanzadas como KASLR. No obstante, para que esta técnica sea efectiva, debe existir una vulnerabilidad en el heap del kernel y el atacante debe tener capacidades de ejecución de código como usuario no privilegiado.
«SLUBStick aprovecha sistemas más recientes, incluidas las versiones 5.19 y 6.2, para una amplia gama de vulnerabilidades en el heap», afirman los investigadores, resaltando la versatilidad y peligrosidad de este método.
La comunidad de ciberseguridad está atenta y los desarrolladores de Linux trabajan en medidas para mitigar esta nueva amenaza. Mientras tanto, se recomienda a los administradores de sistemas y usuarios que mantengan sus sistemas actualizados y apliquen todas las medidas de seguridad disponibles para protegerse contra posibles explotaciones de este tipo.
