Los temas del resumen de esta semana incluyen una condición de carrera en el subsistema Perf de Linux, una denegación de servicio en BIND y una calculadora de evaluación de riesgos basada en la metodología de clasificación de riesgos de OWASP.
Condición de carrera en el subsistema Perf de Linux
El subsistema Perf de Linux es un subsistema basado en el núcleo que proporciona un marco para el análisis y la supervisión del rendimiento del hardware y el software. Se integró originalmente en el núcleo de Linux en la versión 2.6.31 y cuenta con una utilidad de espacio de usuario (perf) que interactúa con el subsistema del núcleo. La herramienta perf del espacio de usuario puede registrar, contar,b y muestrear los eventos de hardware (cambios de contexto e instrucciones ejecutadas por los registros de la CPU), y de software (a través de contadores de software y tracepoints).
La vulnerabilidad CVE-2022-1729 clasificada como CWE-362 es una condición de carrera en la llamada al sistema perf_event_open y fue descubierta por Norbert Slusarek. Según la página de manual, "Una llamada a perf_event_open() crea un descriptor de archivo que permite medir la información de rendimiento. Cada descriptor de fichero corresponde a un evento que es medido; estos pueden ser agrupados para medir múltiples eventos simultáneamente."
La condición de carrera parece haber estado presente desde el kernel v4.0-rc1, y podría resultar en escalada de privilegios y ejecución de código arbitrario. El parche para esta vulnerabilidad forma parte del ciclo de lanzamiento del kernel de Linux 5.17.10-rc1.
Además, un método de mitigación de RedHat sugiere establecer la variable kernel.perf_event_paranoid a '3' a través de sysctl, para restringir a los usuarios sin privilegios el acceso al subsistema Perf en el kernel.
Denegación de servicio en BIND
El ISC publicó la semana pasada un aviso de seguridad sobre una vulnerabilidad de alta gravedad que afecta a las versiones 9.18.0 a 9.18.2 y v9.19. 0 de la rama de desarrollo 9.19 de BIND. La vulnerabilidad, descubierta originalmente por Thomas Amgarten, es explotable a través de una red y tiene una puntuación CVSS asignada de 7,0 por el ISC.
Un exploit exitoso bajo ciertas circunstancias causa que el demonio nombrado termine con una falla de aserción (llevando a una denegación de servicio) si una conexión TLS de cliente al listener http TLS es destruida demasiado pronto. Los sistemas vulnerables consisten en servidores BIND que tienen DNS sobre HTTPS habilitado e incluyen una referencia a http dentro de las declaraciones listen-on en sus configuraciones nombradas. Las configuraciones que sólo utilizan DNS sobre TLS no se ven afectadas por esta vulnerabilidad según el aviso.
Actualmente, no hay soluciones conocidas, pero ISC ha aconsejado actualizar a v9.18.3 en la versión estable y v9.19.1 en las ramas de desarrollo, respectivamente, para la mitigación.
Calculadora de evaluación de riesgos
En el ciclo de vida de la gestión de vulnerabilidades, es importante estimar el impacto técnico y empresarial asociado a las nuevas vulnerabilidades que puedan afectar a la infraestructura de una organización.
Las metodologías de evaluación de riesgos tienen en cuenta diversos factores, como la probabilidad de explotación, el nivel de habilidad del adversario y la facilidad de descubrimiento, por citar algunos.
Una de estas metodologías de OWASP calcula la gravedad global del riesgo basándose en estos factores.
Ivan Markovic ha creado una calculadora de evaluación de riesgos basada en la metodología de clasificación de riesgos de OWASP, disponible como herramienta de código abierto. El riesgo se calcula como
Riesgo = Probabilidad * Impacto
En la fórmula anterior, la probabilidad de explotación depende de un par de factores que, además, tienen en cuenta consideraciones pertinentes:
- Agente de la amenaza: nivel de destreza, motivo, oportunidad y tamaño de los agentes de la amenaza.
- Factores de vulnerabilidad: facilidad de descubrimiento y explotación; conocimiento de la vulnerabilidad; y detección de la explotación por un sistema de detección de intrusiones.
Del mismo modo, los factores que afectan al impacto global de una vulnerabilidad incluyen:
- Factores de impacto técnico: pérdida de confidencialidad, integridad, disponibilidad y responsabilidad de las acciones de un actor de la amenaza.
- Factores empresariales: daños financieros y reputacionales, incumplimiento y violación de la privacidad.
Como tal, la puntuación de riesgo global de una vulnerabilidad permite a los propietarios tomar una decisión informada y ayuda a priorizar la aplicación de parches.
El código fuente de la calculadora se puede encontrar en github, y más detalles sobre la metodología de evaluación de riesgos de OWASP están disponibles aquí.
Comentarios