Alerta de seguridad
Nivel de peligrosidad: Alto
Descripción
La vulnerabilidad, se enceuntra latente desde el 2017, reside en el módulo criptográfico algif_aead. Al utilizar la llamada al sistema splice(), un atacante puede engañar al kernel para que trate la caché de páginas de un archivo legible (como /usr/bin/su) como un buffer de escritura. Mediante un script de Python, se inyecta shellcode en la memoria RAM, evadiendo herramientas forenses de integridad de disco que no detectan cambios en el archivo físico.
Recursos afectados
Distribuciones de Linux lanzadas desde 2017 (Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, SUSE 16, Debian, Arch Linux, etc.).
Componente: Sockets de la familia AF_ALG y el módulo algif_aead.
Solución/Mitigación
- Solucion Oficial: Instalar la actualización del kernel proporcionada por el fabricante de la distribución y reiniciar el sistema.
- Mitigación temporal: Desactivar la carga del módulo vulnerable:echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf y ejecutar rmmod algif_aead.
Indicadores de compromiso
- Errores inusuales de EBADMSG en el subsistema criptográfico seguidos de ejecuciones de binarios SUID.
- Uso sospechoso de sockets AF_ALG por procesos que no deberían realizar operaciones criptográficas.
- Discrepancias entre el contenido de un binario en disco y su versión en la caché de páginas (RAM).
Recomendaciones
- Parchear de inmediato nodos de Kubernetes, runners de CI/CD y entornos de nube compartidos.
- Bloquear la creación de sockets AF_ALG mediante políticas de seccomp en entornos de contenedores.
- Evaluar el uso de microVMs (como Firecracker) o gVisor para cargas de trabajo que ejecuten código no confiable.