Una vulnerabilidad significativa en entornos de Linux de usuarios múltiples, donde los comportamientos estándar del sistema pueden explotarse para cosechar credenciales y secretos confidenciales de otros usuarios.
La investigación, presentada en “Fugas silenciosas: la cosecha de secretos de entornos de Linux compartidos”, demuestra cómo las herramientas del sistema legítimas se convierten en armas para el reconocimiento en entornos de alojamiento compartido.
La metodología de ataque aprovecha las características fundamentales de la transparencia de Linux que fueron diseñadas originalmente para entornos confiables de usuarios múltiples como universidades y laboratorios compartidos.
Control de llave
1. PS Auxww y/Proc/(PID)/Cmdline Exponer contraseñas en vivo y claves API de los procesos de otros usuarios.
2. CAGEFS, CHROOT y LITSpeed se pueden pasar por alto mediante alojamiento de binarios de panel y registros compartidos.
3. /La vigilancia del directorio TMP captura archivos confidenciales que contienen credenciales y secretos.
Estos sistemas priorizan las capacidades de depuración y el monitoreo del sistema sobre el estricto aislamiento entre usuarios, creando oportunidades para que los actores maliciosos recopilen inteligencia sin desencadenar alertas de seguridad tradicionales.
Explotación de información del proceso
El vector de ataque primario explota la visibilidad predeterminada de los argumentos del proceso a través de comandos como PS AuxWW y Accessing/Proc/(PID)/CMDLine.
La investigación de Ionut Cernica muestra cómo los atacantes pueden monitorear continuamente estas listas de procesos para capturar exposiciones a las credenciales en tiempo real.
Los ejemplos del mundo real de la investigación incluyen credenciales de bases de datos filtradas a través de operaciones de WordPress CLI:
Los comandos de administración del sistema también exponen información confidencial durante la creación de usuarios y las operaciones de la base de datos:
El investigador documentó casos en los que las contraseñas administrativas, las claves API y las credenciales de la base de datos eran visibles para cualquier usuario capaz de ejecutar comandos básicos de monitoreo de procesos.
Esto incluye escenarios en los que las operaciones a nivel raíz exponen inadvertidamente las credenciales a través de argumentos de línea de comandos.
Omitir los sistemas de aislamiento y explotar archivos temporales
Incluso en entornos protegidos por sistemas de aislamiento como CAGEFS y cárcel de chroot, Cernica demostró con éxito técnicas de escape.
Un caso notable consistió en explotar un binario de panel de alojamiento que inadvertidamente se ejecutó fuera del entorno CAGEFS, proporcionando acceso al sistema de host real.
Objetivos del atacante
La investigación también destacó las vulnerabilidades en las configuraciones del servidor web de LitaSpeed, donde acceder a/proc/self/fd/2 permitió a los atacantes leer archivos stderr.log compartidos, exponiendo la salida de error en tiempo real de los scripts de otros usuarios.
Esto incluyó tokens API de PayPal y cookies de sesión:
El monitoreo temporal de archivos presenta otro vector de amenaza significativo. Los scripts que monitorearon los directorios de TMP pueden capturar archivos confidenciales, incluidos volcados SQL, archivos de configuración y registros de instalación que contienen contraseñas administrativas.
El investigador documentó casos en los que los registros de instalación expusieron las credenciales del sistema crítico:
Las implicaciones se extienden más allá de los proveedores de alojamiento tradicionales a los servidores de desarrollo, laboratorios educativos, entornos VPS e infraestructura de CTF.
CERNICA reveló responsablemente estas vulnerabilidades a las principales plataformas de alojamiento en abril, con soluciones actualmente en progreso entre los sistemas afectados.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
