Fallas en los informes de fallos de Linux (CVE-2025-5054, 4598) exponen hashes de contraseñas.

Qualys detalla CVE-2025-5054 y CVE-2025-4598, vulnerabilidades críticas que afectan a herramientas de informe de fallos de Linux como Apport y systemd-coredump. Aprenda a proteger sus sistemas Ubuntu, Red Hat y Fedora.

Los expertos en ciberseguridad de Qualys han descubierto dos vulnerabilidades importantes en sistemas operativos Linux comunes. Estas vulnerabilidades de divulgación de información, presentes en herramientas de software llamadas Apport y systemd-coredump , podrían permitir a los atacantes robar información confidencial, como hashes de contraseñas, de los sistemas afectados, según revela el informe de Qualys compartido con Hackread.com.

La Unidad de Investigación de Amenazas (TRU) de Qualys identificó estos problemas como vulnerabilidades de condición de carrera . Esto significa que un atacante puede aprovechar un breve instante en el que un programa maneja datos para obtener acceso no autorizado.

Una vulnerabilidad identificada como CVE-2025-5054 afecta Apport , el sistema integrado de Ubuntu para reportar fallos. Esta falla se produce porque la comprobación para detectar si un proceso que fallaba fue reemplazado por otro proceso en un contenedor se realizó demasiado tarde. Esto podría provocar el envío de información confidencial al contenedor, con la posible filtración del mismo.

La segunda, CVE-2025-4598 , afecta systemd-coredump , una herramienta similar que funciona como gestor de fallos predeterminado en Red Hat Enterprise Linux 9 y 10, así como en Fedora. Esta vulnerabilidad permite a un atacante bloquear un proceso SUID (un programa que se ejecuta con permisos especiales) y reemplazarlo rápidamente por un programa normal.

Si el atacante gana esta carrera , podrá leer el volcado de núcleo del proceso SUID original y obtendrá acceso a datos confidenciales que estaban en su memoria, como hashes de contraseñas del archivo /etc/shadow.

Tanto Apport como systemd-coredump están diseñados para crear volcados de memoria (instantáneas de la memoria de un programa cuando falla). Estos volcados son muy útiles para los desarrolladores que intentan solucionar problemas de software. Sin embargo, también pueden contener información privada, como contraseñas o claves de cifrado. Normalmente, el acceso a estos archivos está restringido para evitar su uso indebido.

Según la entrada del blog de Qualy, su TRU ha creado pruebas de concepto (POC) que muestran cómo un atacante local podría aprovechar estas vulnerabilidades. En concreto, han demostrado cómo un atacante podría explotar un programa bloqueado como unix_chkpwd (que verifica las contraseñas de los usuarios) para robar hashes de contraseñas del archivo /etc/shadow, un archivo crítico del sistema que contiene las contraseñas de los usuarios.

La explotación de vulnerabilidades en Apport y systemd-coredump puede comprometer gravemente la confidencialidad con un alto riesgo, ya que los atacantes podrían extraer datos confidenciales, como contraseñas, claves de cifrado o información de clientes, de los volcados de memoria.

Saeed Abbasi, Gerente de Producto – Unidad de Investigación de Amenazas, Qualys

Muchos sistemas Linux se ven afectados por estas fallas recién descubiertas. En el caso de Apport , todas las versiones de Ubuntu desde la 16.04 son vulnerables, incluyendo las versiones hasta la 2.33.0, incluyendo la reciente Ubuntu 24.04.

Por el contrario, para systemd-coredump , Fedora 40 y 41, junto con Red Hat Enterprise Linux 9 y el recién lanzado RHEL 10, están en riesgo. Los sistemas Debian suelen ser seguros por defecto, a menos que systemd-coredump se haya instalado manualmente.

La explotación de estas vulnerabilidades podría dar lugar a graves violaciones de seguridad, poniendo en riesgo la confidencialidad de datos sensibles y potencialmente causando tiempos de inactividad del sistema o daños a la reputación de las organizaciones.

Para proteger los sistemas, Qualys recomienda establecer el /proc/sys/fs/suid_dumpable parameter en 0. Esto deshabilita los volcados de memoria para programas que se ejecutan con permisos especiales, lo que puede servir como solución temporal si no hay parches de software disponibles de inmediato. Qualys también publica nuevos identificadores de análisis de seguridad (QID), como el QID 383314, para ayudar a las organizaciones a detectar estas vulnerabilidades.

Jason Soroko , miembro sénior de Sectigo, un proveedor con sede en Scottsdale, Arizona, de gestión integral del ciclo de vida de certificados (CLM), recomienda tratar la gestión de fallos como una tubería de datos segura, aislando o deshabilitando el procesamiento de volcados, cifrando los volcados, destruyendo los datos después del triaje y ajustando los controles del controlador para reducir el riesgo y mantenerse a la vanguardia de las amenazas futuras.