imágenes falsas
Ha pasado mucho tiempo desde que el usuario promedio de computadora pensó en los archivos .cue, u hojas de referencia, los bits de metadatos que describen las pistas de un disco óptico, como un CD o un DVD. Pero las hojas de referencia están volviendo a llamar la atención, por motivos equivocados. Están en el corazón de un exploit de un solo clic que podría permitir que un atacante ejecute código en sistemas Linux con escritorios GNOME.
CVE-2023-43641, revelado por GitHub el 9 de octubre, es un problema de corrupción de memoria (o escritura de matriz fuera de los límites) en la biblioteca libcue, que analiza las hojas de referencia. El NIST aún no ha proporcionado una puntuación para el problema, pero el envío de GitHub lo califica con un 8,8 o «Alto». Si bien la vulnerabilidad ha sido parcheada en la biblioteca principal, las distribuciones de Linux deberán actualizar sus escritorios para solucionarla.
Los escritorios GNOME tienen, de forma predeterminada, un «minero rastreador» que se actualiza automáticamente cada vez que se cambian ciertas ubicaciones de archivos en el directorio de inicio de un usuario. Si un usuario se viera obligado a descargar una hoja de referencia que aprovechara la vulnerabilidad de libcue, el rastreador de indexación de GNOME leería la hoja de referencia y se podría ejecutar el código de esa hoja.
-
Primera parte del ejemplo de exploit basado en .cue: un escritorio Ubuntu, con un navegador abierto, descargando un archivo CUE.
Kevin Backhouse / GitHub
-
Parte 2: Inmediatamente aparece una calculadora, con «1337» en la pantalla numérica. Puedes imaginar que la mayoría de los exploits tendrían consecuencias mucho peores.
Kevin Backhouse / GitHub
Kevin Backhouse, miembro del Laboratorio de Seguridad de GitHub, ofrece una demostración en video del exploit en su blog, pero aún no ha publicado la prueba de concepto que permita aplicar parches. Puede probar la vulnerabilidad de su sistema comparándola con una hoja de referencia de prueba que ofrece, lo que debería provocar «un bloqueo benigno».
El error es específico de cómo libcue lee el índice de una pista de disco o su número y longitud. Debido a las herramientas del sistema que utiliza, puedes engañar a libcue para que registre un número negativo para un índice. Luego, debido a que otra parte de la rutina de escaneo no verifica si un número de índice es negativo antes de escribirlo en una matriz, un atacante puede escribir fuera de los límites de la matriz. La solución propuesta por Backhouse agrega una verificación de condición única a la rutina de configuración del índice.
La publicación del blog de Backhouse explica con más detalle cómo los rastreadores-mineros, como los de GNOME, son particularmente vulnerables a este tipo de exploit.
La solución actual es que los usuarios de distribuciones basadas en GNOME actualicen sus sistemas lo antes posible. La vulnerabilidad en libcue está parcheada a partir de la versión 2.3.0. Libcue suele ser un proyecto bastante tranquilo, mantenido en gran medida únicamente por Ilya Lipnitskiy. Ilustra, una vez más, las enormes cantidades de infraestructura tecnológica sustentada por proyectos pequeños y no remunerados.
Esta no es la primera contribución de Backhouse a las vulnerabilidades generales de Linux. Anteriormente encontró problemas con usuarios estándar que se convertían en root con algunos comandos y un exploit de Polkit que también ofrecía acceso de root. Backhouse, a pesar de ser un portador recurrente de malas noticias, agregó esta nota a pie de página a su divulgación de vulnerabilidad más reciente: «Actualmente ejecuto Ubuntu 23.04 como mi sistema operativo principal y amar el entorno de escritorio GNOME.»