A Vulnerabilidade
Duas falhas de divulgação de informações surgiram recentemente no apport e no Systemd-coredump, os Manipuladores de core dump usados no Ubuntu, Red Hat Enterprise Linux e Fedora, de acordo com a Unidade de Pesquisa de Ameaças Qualys (TRU).
Rastreadas como CVE-2025-5054 e CVE-2025-4598, essas vulnerabilidades decorrem de bugs de condição de corrida. Consequentemente, um invasor local poderia explorá-los para obter acesso a informações confidenciais. Ferramentas como Apport e systemd-coredump gerenciam relatórios de falhas e core dumps em sistemas Linux.
“Essas condições de corrida permitem que um invasor local explore um programa SUID e leia diretamente o core dump resultante”, disse Saeed Abbasi, gerente de produto da Qualys TRU.
Segue uma breve descrição das duas falhas:
- CVE-2025-5054 (pontuação CVSS: 4,7) – Esta condição de corrida afeta o pacote apport da Canonical até a versão 2.32.0, Inclusive. Ela permite que um invasor local vaze informações confidenciais reutilizando PIDs e Aproveitando Namespaces.
- CVE-2025-4598 (pontuação CVSS: 4,7) – Esta condição de corrida existe no Systemd-coredump e permite que um invasor force a falha de um Processo SUID. O invasor pode então substituí-lo por um binário não-SUID, permitindo acesso ao dump de memória do Processo Privilegiado. Como resultado, dados confidenciais, como o conteúdo de
/etc/shadow, podem ser expostos.
Como Funciona
SUID, Abreviação de Definir ID de Usuário, Refere-se a uma Permissão Especial de Arquivo que permite que um usuário execute um Programa com os Privilégios do Proprietário do arquivo, em vez dos seus Próprios.
“Ao analisar travamentos de aplicativos, o apport tenta detectar se o processo que causou o travamento estava em execução dentro de um contêiner antes de realizar verificações de consistência nele”, de acordo com Octavio Galland, da Canonical.
Portanto, se um Atacante local induzir um Travamento em um Processo Privilegiado e Rapidamente Substituí-lo por outro Processo que Compartilhe o mesmo PID e resida em um Namespace de Montagem e pid, o apport pode Encaminhar o dump de memória — que pode conter dados Confidenciais do Processo Privilegiado original — para o Namespace.
Conclusão
A Red Hat, por sua vez, Classificou o CVE-2025-4598 como Moderado em Gravidade. Ele Explicou que a Exploração da falha envolve Alta Complexidade, pois o invasor precisa vencer a Condição de corrida e já possuir uma conta local sem Privilégios.
Como medida de mitigação, a Red Hat recomendou que os usuários executassem o comando echo 0 > /proc/sys/fs/suid_dumpable como usuário root. Isso Desabilita a Capacidade do sistema de gerar dumps de núcleo para Binários SUID.
O parâmetro /proc/sys/fs/suid_dumpable basicamente controla se os programas SUID podem produzir dumps de núcleo após uma falha. Ao Defini-lo como zero, o sistema impede que os Programas SUID criem dumps de núcleo e Bloqueia Análises de falha Adicionais para esses Binários.
“Embora esta medida ajude a mitigar a vulnerabilidade na ausência de uma atualização disponível para o pacote systemd, ela evita travamentos de depuração em binários SUID”, observou a Red Hat .
Além disso, Amazon Linux, Debian e Gentoo Lançaram alertas Semelhantes. Notavelmente, os sistemas Debian permanecem inalterados pela CVE-2025-4598 por padrão, uma vez que não são fornecidos com um gerenciador de dump de núcleo, a menos que o pacote systemd-coredump seja instalado manualmente. Além disso, a CVE-2025-4598 não afeta nenhuma versão do Ubuntu.
Enquanto isso, a Qualys Desenvolveu um código de Prova de Conceito (PoC) para ambas as Vulnerabilidades. Este código mostra como um invasor local poderia explorar o dump de núcleo de um processo unix_chkpwd travado — usado para validar senhas de usuários — para extrair hashes de senha do arquivo /etc/shadow.
A Canonical também emitiu seu próprio alerta, Afirmando que a CVE-2025-5054 afeta apenas a Confidencialidade da Memória Acessada por Executáveis SUID Invocados. A empresa Acrescentou que, embora a PoC possa vazar senhas com hash, o impacto no mundo real Permanece Limitado.
Abbasi enfatizou as implicações mais amplas: “Explorar vulnerabilidades no Apport e no systemd-coredump pode comprometer significativamente a confidencialidade, permitindo que invasores extraiam dados confidenciais, como senhas, chaves de criptografia ou informações de clientes, de dumps de memória.”
Ele concluiu: “As consequências incluem interrupções operacionais, danos à reputação e possíveis violações regulatórias. Para mitigar efetivamente esses riscos multifacetados, as empresas devem adotar estratégias de segurança proativas, priorizar patches e mitigações, aprimorar o monitoramento e aplicar controles de acesso rigorosos.”
Fonte: TheHackerNews
Leia mais em Impreza News
