Se ha revelado una alerta de seguridad, emitida por los instructores del curso de hacking del US-CERT, relacionada con una peligrosa falla de ejecución remota que ha estado presente por casi 18 años en el software PPP daemon (PPPD), el cual está instalado de forma predeterminada en la mayoría de los sistemas operativos basados en Linux.
Este software es una implementación del Protocolo Punto a Punto (PPP), que permite la comunicación y transferencia de datos entre nodos, empleado principalmente en el establecimiento de enlaces de Internet como los utilizados por conexiones DLS de banda ancha y servicios de red privada virtual (VPN).
La falla fue descubierta por los instructores del curso de hacking de la firma IOActive; según su informe, se trata de una falla crítica de desbordamiento de búfer que existe debido a un error lógico en el analizador de paquetes del Protocolo de Autenticación Extensible (EAP) de PPPD. Identificada como CVE-2020-8597, la falla recibió un puntaje de 9.8/10 en la escala del Common Vulnerability Scoring System (CVSS), y puede ser explotada por un hacker no autenticado para ejecutar código arbitrario de forma remota en el sistema objetivo.
Para completar el ataque, los actores de amenaza sólo requieren enviar un paquete EAP malicioso al cliente o servidor PPP vulnerable, vía un enlace directo en redes ISDN Ethernet, SOcket, CAT, PPTP, GPRS o ATM. Debido a que PPPD se ejecuta con altos privilegios, los atacantes podrían ejecutar código malicioso con privilegios de sistema.
Los especialistas del curso de hacking añaden que la falla se presenta al validar el tamaño de una entrada antes de copiar los datos ingresados en la memoria. Debido a que la validación es incorrecta, los datos arbitrarios se pueden copiar en la memoria y conducir a la ejecución de código no deseado.
Respecto a las versiones vulnerables, el reporte menciona que cualquier versión del software PPPD lanzada durante los últimos 17 años está expuesta a la explotación de la falla de ejecución remota de código.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), ya se han reportado afectaciones en algunas de las distribuciones de Linux más populares, como son:
- Debian
- Ubuntu
- SUSE Linux
- Fedora
- NetBSD
- Red Hat Enterprise Linux
Cabe señalar que no se ha reportado la existencia de alguna prueba de concepto para la explotación de esta vulnerabilidad, aunque no se ha descartado la posibilidad de explotación en escenarios reales.