Grave fallo de seguridad en la mayoría de los sistemas Linux y routers TP-Link

Cada pocas semanas tenemos noticias de una grave vulnerabilidad descubierta que nos pone en riesgo como usuarios de ciertos productos o servicios. En este caso, se ha descubierto en importante fallo de seguridad en un software de Point-to-Point Protocol Daemon (pppd). El problema de esta vulnerabilidad es que lleva 17 años presente y nadie la había localizado hasta ahora, permitiendo ejecutar código arbitrario en los dispositivos o sistemas afectados (o malware) para tomar el control de estos. La mayoría de los sistemas Linux, algunos routers y dispositivos de red TP-Link u OpenWRT están afectados.
El descubrimiento de vulnerabilidades que llevan más de una década ocultas siempre resulta perturbador y nos hace preguntarnos cómo es posible que haya ocurrido algo así. Sin embargo, nadie está libre de pecado y esta vez le ha tocado el turno al software PPP daemon (pppd) que sufre una grave vulnerabilidad que permite la ejecución remota de código arbitrario. El problema es que este viene instalado por defecto en la casi todos los sistemas basados en Linux, además de en muchos dispositivos de red.
Linux, TP-Link y OpenWRT afectados
El investigador de seguridad Ilja Van Sprundel, de IOActive, ha sido el responsable de descubrir este grave fallo de seguridad debido a un error en el uso de paquetes Extensible Authentication Protocol (EAP). La vulnerabilidad se produce por un error al validar el tamaño de la entrada antes de copiar los datos suministrados en la memoria.
Esta vulnerabilidad ha sido registrada como CVE-2020-8597 y tiene una puntuación CVSS de 9,8. Debemos partir de la base de que generalmente pppd se ejecuta con privilegios elevados, lo que implica que, de tener éxito aprovechando la vulnerabilidad, un atacante podría ejecutar código malicioso en el sistema e incluso tomar su control.
Las versiones afectadas de PPP daemon (pppd) son las comprendidas entre 2.4.2 y 2.4.8, es decir, todas las lanzadas en los últimos 17 años. Entre las distribuciones Linux que cuentan con este software instalado por defecto encontramos:
- Debian
- Ubuntu
- SUSE Linux
- Fedora
- NetBSD
- Red Hat Enterprise Linux
Además, este fallo también hace vulnerables a sistemas y productos como:
- Cisco CallManager
- TP-LINK y muchos de sus routers o dispositivos de red
- OpenWRT Embedded OS
- Synology algunos productos
Por el momento, la vulnerabilidad no ha sido corregida y se insta a los desarrolladores y fabricantes a lanzar actualizaciones de seguridad lo antes posible. En el caso de los usuarios, estos deben estar muy atentos para actualizar los sistemas afectados conforme se tenga constancia de la existencia de un parche de seguridad.