El pasado 15 de mayo
se publicó una vulnerabilidad que afecta al cliente DHCP de sistemas RedHat
Enterprise Linux 6 y 7. La vulnerabilidad, considerada crítica, permitiría la
ejecución remota de código con permisos de root.
DynoRoot es el nombre
de marca de la vulnerabilidad etiquetada con CVE-2018-1111, un fallo que afecta
al script de integración del componente NetworkManager con el cliente DHCP
(/etc/NetworkManager/dispatcher.d/11-dhclient en Red Hat Enterprise Linux 7 o
/etc/NetworkManager/dispatcher.d/10-dhclient en Red Hat Enterprise Linux 6).
La vulnerabilidad
permitiría a un atacante remoto podría falsificar las respuestas enviadas al
cliente DHCP para inyectar código arbitrario en el script de NetworkManager
antes mencionado que se ejecutaría con permisos de super usuario.
El usuario
@Barknkilic ha publicado en un tweet una prueba de concepto en la que consigue
abrir una sesión de netcat en la máquina de la víctima:
RedHat ha publicado
la lista de productos afectados y los respectivos parches en el siguiente
enlace: https://access.redhat.com/errata/RHSA-2018:1453
Productos afectados
1.
Red
Hat Enterprise Linux Server 7 x86_64
2.
Red
Hat Enterprise Linux Server - Extended Update Support 7.5 x86_64
3.
Red
Hat Enterprise Linux Workstation 7 x86_64
4.
Red
Hat Enterprise Linux Desktop 7 x86_64
5.
Red
Hat Enterprise Linux for IBM z Systems 7 s390x
6.
Red
Hat Enterprise Linux for IBM z Systems - Extended Update Support 7.5 s390x
7.
Red
Hat Enterprise Linux for Power, big endian 7 ppc64
8.
Red
Hat Enterprise Linux for Power, big endian - Extended Update Support 7.5 ppc64
9.
Red
Hat Enterprise Linux for Scientific Computing 7 x86_64
10.
Red
Hat Enterprise Linux EUS Compute Node 7.5 x86_64
11.
Red
Hat Enterprise Linux for Power, little endian 7 ppc64le
12.
Red
Hat Enterprise Linux for Power, little endian - Extended Update Support 7.5
ppc64le
13.
Red
Hat Enterprise Linux for ARM 64 7 aarch64
14.
Red
Hat Enterprise Linux for Power 9 7 ppc64le
15.
Red
Hat Enterprise Linux for IBM System z (Structure A) 7 s390x
Recomendación
- Actualizar
cuanto antes los productos afectados.
Más información:
·
DHCP
Client Script Code Execution Vulnerability - CVE-2018-1111 https://access.redhat.com/security/vulnerabilities/3442151
Fuente: Hispasec