Falhas em sistemas Linux permitem roubo de hashes de senhas por meio de core dumps em Ubuntu, RHEL e Fedora

Pesquisadores da unidade de pesquisa de ameaças da Qualys (Threat Research Unit – TRU) descobriram duas vulnerabilidades críticas em sistemas Linux amplamente utilizados, como Ubuntu, Red Hat Enterprise Linux (RHEL) e Fedora. As falhas, identificadas como CVE-2025-5054 e CVE-2025-4598, envolvem condições de corrida (race conditions) nos manipuladores de core dump — Apport e systemd-coredump — e permitem que hackers locais acessem informações sensíveis, como hashes de senhas armazenados no arquivo /etc/shadow.

Essas falhas afetam diretamente programas com permissão especial SUID (Set User ID), que são executados com os privilégios do proprietário e não do usuário. Segundo Saeed Abbasi, gerente de produto da Qualys, um invasor com acesso local pode explorar essas condições para induzir o travamento de processos privilegiados e substituí-los rapidamente por processos não privilegiados, reutilizando o mesmo PID (identificador de processo). Isso faz com que o sistema armazene o core dump do processo original com dados sensíveis acessíveis ao invasor.

A primeira falha, CVE-2025-5054 (pontuação CVSS: 4.7), afeta o pacote Apport da Canonical até a versão 2.32.0, permitindo vazamento de informações por meio de reutilização de PID em namespaces. Já a segunda, CVE-2025-4598 (CVSS: 4.7), explora uma condição de corrida no systemd-coredump e possibilita que hackers forcem um binário SUID a falhar e seja substituído por um processo manipulável, viabilizando o acesso à memória do processo privilegiado, como o conteúdo do /etc/shadow.

Embora considerada de severidade moderada pela Red Hat, a exploração dessas falhas exige vencer a condição de corrida e ter uma conta local não privilegiada. Como mitigação, usuários podem executar echo 0 > /proc/sys/fs/suid_dumpable como root, desabilitando a geração de core dumps por programas SUID — uma medida temporária, pois também impede a análise de falhas desses binários.

Empresas como Amazon Linux, Debian e Gentoo também emitiram alertas sobre o problema. No caso do Debian, a falha CVE-2025-4598 não o afeta por padrão, já que o systemd-coredump não é instalado automaticamente. O Ubuntu também não é impactado por essa falha específica.

A Qualys desenvolveu códigos de prova de conceito (PoC) que demonstram como essas vulnerabilidades podem ser exploradas para roubar hashes de senhas. Embora a Canonical tenha minimizado o impacto do CVE-2025-5054, destacando que o PoC tem impacto limitado no mundo real, especialistas alertam para riscos significativos à confidencialidade, incluindo possíveis vazamentos de chaves de criptografia, dados de clientes e credenciais de acesso.

Saeed Abbasi reforça que tais falhas podem resultar em danos operacionais, prejuízos à reputação e não conformidade com normas regulatórias. Ele recomenda que as organizações adotem medidas proativas de segurança, como priorização de correções, monitoramento contínuo e controle de acesso rigoroso.

Via - THN