Vulnerabilidade em Linux expõe hashes de senhas (CVE-2025-5054, 4598)

São Paulo — InkDesign News —

Pesquisadores de segurança da Qualys identificaram vulnerabilidades críticas nos sistemas operacionais Linux, afetando ferramentas de relato de falhas, como Apport e systemd-coredump. As falhas, CVE-2025-5054 e CVE-2025-4598, podem permitir que atacantes acessem informações sensíveis, como hashes de senhas, de sistemas afetados.

Incidente e vulnerabilidade

As vulnerabilidades foram classificadas como “condições de corrida”, permitindo que um agressor explore um breve momento no qual um programa está lidando com dados para obter acesso não autorizado. A CVE-2025-5054, que impacta o Apport, ocorre devido a uma verificação tardia que detecta se um processo em falha foi substituído por outro dentro de um container. Isso pode resultar no envio de informações sensíveis para o container, levando a vazamentos.

Já a CVE-2025-4598 visa o systemd-coredump, um manipulador de falhas padrão em Red Hat Enterprise Linux e Fedora. O vetor de ataque possibilita que um invasor derrube um processo SUID — que roda com permissões especiais — e o substitua rapidamente por um programa comum. Se bem-sucedido, o atacante pode acessar o core dump do processo original e ler dados sensíveis na memória, como os hashes de senha encontrados no arquivo /etc/shadow.

Impacto e resposta

Essas falhas impactam diversas distribuições Linux. No caso do Apport, todas as versões do Ubuntu desde 16.04 estão vulneráveis, incluindo Ubuntu 24.04. Para o systemd-coredump, as versões do Fedora 40 e 41, assim como Red Hat Enterprise Linux 9 e 10, estão em risco. Embora sistemas Debian sejam geralmente seguros, eles podem ser afetados caso o systemd-coredump tenha sido instalado manualmente.

“A exploração de vulnerabilidades no Apport e no systemd-coredump pode comprometer severamente a confidencialidade, pois atacantes podem extrair dados sensíveis, como senhas ou chaves de criptografia, dos core dumps.”
(“The exploitation of vulnerabilities in Apport and systemd-coredump can severely compromise the confidentiality at high risk, as attackers could extract sensitive data, like passwords, encryption keys, or customer information from core dumps.”)

— Saeed Abbasi, Manager Product – Threat Research Unit, Qualys

Qualys também revelou que seus pesquisadores desenvolveram provas de conceito (POCs) demonstrando como um atacante local poderia explorar estas vulnerabilidades para obter hashes de senhas.

Mitigações recomendadas

Para mitigar esses riscos, a Qualys recomenda configuração do parâmetro /proc/sys/fs/suid_dumpable como 0. Isso desabilita os core dumps para programas que operam com permissões especiais, servindo como uma solução temporária enquanto patches não estão disponíveis. Além disso, a empresa está lançando novos IDs de escaneamento de segurança (QIDs), como o QID 383314, para ajudar organizações a detectar essas vulnerabilidades.

“Trate a gestão de falhas como um pipeline de dados seguros, isolando ou desabilitando o processamento de dumps, criptografando os dumps e eliminando dados após a triagem.”
(“Treat crash management as a secure data pipeline, isolating or disabling dump processing, encrypting dumps, shredding data post-triage, and tightening handler controls, to reduce risk and stay ahead of future threats.”)

— Jason Soroko, Senior Fellow, Sectigo

Os riscos residuais dessas vulnerabilidades são significativos, e a implementação de medidas corretivas imediatas é crucial. Organizações devem continuar monitorando a situação e adotar uma abordagem proativa em relação à segurança.

Fonte: (Hack Read – Segurança Cibernética)