El año 2018 empezó muy fuerte en lo que se refiere al descubrimiento de vulnerabilidades con la publicación de información relacionada con Spectre y Meltdown. Durante esos días y las semanas posteriores se habló mucho del tema y de las posibles consecuencias que podrían tener para la seguridad de los sistemas que utilizaban procesadores Intel, AMD y ARM afectados. De hecho, el caso fue tan grave que hizo que estos fabricantes de CPUs se replanteasen el diseño de sus procesadores para dejar de primar el rendimiento en detrimento de la seguridad.
Descubierto un exploit funcional
Ahora, más de tres años después de que estas vulnerabilidades salieran a la luz, el tema vuelve a estar de actualidad debido al descubrimiento de un exploit plenamente funcional enviado a la web VirusTotal recientemente. A diferencia de las pruebas de concepto que se publicaron en 2018 únicamente para demostrar la viabilidad de ataques aprovechando estos agujeros de seguridad, este exploit podría aprovecharse de forma maliciosa.
Ha sido el investigador francés Julien Voisin el que ha dado la voz de alarma tras descubrir dos exploits enviados a VirusTotal, uno para Windows y otro para Linux, siendo estos diferentes a los ya conocidos y utilizados como prueba de concepto previamente. Según este investigador, el exploit para Linux es capaz de volcar el contenido de /etc/shadow, utilizado para almacenar información relacionada con las cuentas del sistema.
Posible conexión con herramienta de pentesting
El investigador no ha querido nombrar al autor del exploit aunque sí que parece que conoce su identidad. Mientras tanto, otros investigadores apuntan a que estos exploits formarían parte de un módulo para una herramienta de pentesting conocida como CANVAS. Esto se podría deducir de los ficheros que contienen el exploit en archivos ZIP y que estarían relacionados con esta herramienta.
Sin embargo, algunos investigadores ya están alertando de que en algunos foros utilizados por delincuentes ya se ha publicado una versión crackeada de este software de pentesting, incluyendo paquetes de exploits para varias vulnerabilidades, incluyendo la CVE- 2017-5715, que fue la que se asignó a Spectre.
De hecho, se tienen pruebas suficientes como para deducir que las versiones crackeadas de esta herramienta se habrían estado compartiendo en canales privados de Telegram desde, al menos, octubre de 2020. Esto estaría dando tiempo más que suficiente a los delincuentes para preparar más de un ataque dirigido a objetivos que aún utilicen procesadores vulnerables y no hayan aplicado los parches de seguridad que se publicaron en su momento.
Posibles soluciones
Al tratarse de una vulnerabilidad reportada hace tiempo y bastante grave, esto provocó que tanto los fabricantes de CPUs afectadas como los desarrolladores de sistemas operativos publicasen parches de seguridad al cabo de un tiempo. Estos parches e incluso versiones posteriores de los procesadores afectados evitarían que estos exploits descubiertos recientemente funcionasen.
Sin embargo, debido a que muchos equipos siguen utilizando procesadores vulnerables o que incluso, en algunos casos, no se aplicaron los debidos parches por la pérdida de rendimiento que eso supondría, el número de posibles objetivos para los ataques que quieran explotar estas vulnerabilidades sigue siendo elevado. Por otro lado, simplemente disponer de estos exploits no permite aprovecharlos para realizar ataques de forma sencilla, ya que el atacante debe saber cómo ejecutarlos con los argumentos adecuados.
Conclusión
Es cuestión de tiempo que veamos como se utilizan estos exploits en ataques dirigidos a todo tipo de objetivos. Tan solo hace falta que alguien le dedique el esfuerzo y recursos suficientes, por lo que hemos de asegurarnos de aplicar los parches de seguridad que se lanzaron para mitigar estas vulnerabilidades o pensar en actualizar procesadores antiguos si es posible, además de usar una solución de seguridad capaz de detectar estas amenazas.