• Tweet

Rafael Dominguez Vega, investigador de MRW InfoSecurity reportó un error en el controlador USB Caiaq, el cual puede usarse para obtener el control de un sistema Linux a través de un dispositivo USB.

El error es causado debido a que el nombre del dispositivo se copia en un área de memoria, el tamaño ésta es de 80 bytes y utiliza un strcpy() sin que su longitud sea probada. Un dispositivo de trabajo con un nombre de dispositivo largo podría escribir más allá de los límites de este búfer y permitir inyectar y ejecutar código. Debido a que el controlador se incluye, y carga automáticamente, en la mayoría de las distribuciones de Linux, para ejecutar código en modo kernel, un atacante simplemente tendría que conectar un dispositivo a un puerto USB del sistema Linux.

MRW señala haber ensamblado un dispositivo USB adecuado para este fin, de acuerdo a un Tweet en "Linux plug&pwn". Su ironía no está del todo fuera de lugar - desbordamientos de búfer derivados del uso de strcpy() son parte del problema del siglo 20. Microsoft, por ejemplo, colocó la función en su lista prohibida de función de llamadas hace unos años, con el fin de que los desarrolladores ya no pudieran comprobar que el código contiene la función incriminatoria. El hecho de que esta función de llamada se utilice en un controlador del kernel de Linux y que el 14 de febrero de este año sólo la haya remplazado para hacerla más segura o comprobar la longitud de strlcpy() no es un rotundo respaldo de su calidad.

Para explotar esta vulnerabilidad, un atacante requeriría acceso físico al sistema destino. A pesar de esta limitación, las vulnerabilidades son aparentemente muy buscadas. La compañía de seguridad informática estadounidense, HBGary, desarrolló un framework completo para espiar y comprometer los ordenadores a través de USB, FireWire y otros puertos bajo el nombre clave de TaskB . El cliente principal para esto fue el contratista de defensa General Dynamics, que suministra servicios a una amplia gama de agencias del servicio militar y secreto de los Estados Unidos. Precio objetivo: alrededor de $ 400,000 dólares.

En un correo electrónico, un empleado de General Dynamics describe dos escenarios clave de implementación: el primero de ellos contempla una persona que abandona su laptop omitiendo bloquear la sesión, lo cual permite a un atacante introducir brevemente u dispositivo adecuado y luego quitarlo. En el segundo caso, el dispositivo es insertado secretamente en un equipo en hibernación, donde espera no ser detectado cuando el equipo vuelva a encenderse y entonces lo pueda recoger posteriormente. Ambos escenarios son capaces de eludir el cifrado completo del disco duro, ya que tiene acceso al equipo cuando está encendido y con el sistema descifra en claro todos los archivos.