Novas falhas de segurança no Linux estão preocupando especialistas e administradores de sistemas: duas vulnerabilidades identificadas nos componentes apport e systemd-coredump permitem que invasores locais acessem informações sensíveis como hashes de senha extraídos de dumps de núcleo. As falhas afetam distribuições populares como Ubuntu, RHEL e Fedora.
Vulnerabilidades no Linux permitem extração de senhas via dumps de núcleo
Condições de corrida comprometem a segurança de sistemas Linux
Dois bugs críticos no Linux, identificados como CVE-2025-5054 e CVE-2025-4598, foram descobertos explorando condições de corrida que possibilitam o acesso a core dumps de processos privilegiados. Ambos os problemas receberam pontuação CVSS de 4,7, destacando um risco significativo para a segurança dos sistemas afetados.
A primeira falha, CVE-2025-5054, afeta o apport, ferramenta do Ubuntu responsável pela coleta de relatórios de falhas. Explorando namespaces e reutilização de PID, um invasor pode interceptar dumps de processos privilegiados e acessar dados como hashes do arquivo /etc/shadow.
Já a CVE-2025-4598 reside no systemd-coredump e impacta principalmente o Red Hat Enterprise Linux e o Fedora. Ela permite que um binário SUID (Set User ID) seja forçado a falhar, sendo rapidamente substituído por outro processo não privilegiado com o mesmo PID. Com isso, o invasor obtém acesso ao core dump original — potencialmente contendo senhas, chaves criptográficas e outras informações sensíveis.
Impactos reais e mitigação das falhas
A Qualys Threat Research Unit (TRU) divulgou um código de prova de conceito (PoC) que explora essas falhas e demonstra como obter hashes de senha do /etc/shadow por meio de um processo como o unix_chkpwd, usado para verificação de senhas.
Apesar da complexidade da exploração, os riscos são reais. O gerente de produto da Qualys, Saeed Abbasi, alertou que a violação da confidencialidade pode acarretar roubo de credenciais, vazamento de dados de clientes, interrupção de operações e não conformidade com normas de segurança.
A Canonical e a Red Hat já se pronunciaram. A Canonical enfatiza que o impacto da falha em apport é limitado à exposição do espaço de memória dos binários SUID. A Red Hat classifica a falha como de gravidade moderada, dado que exige uma condição de corrida difícil de reproduzir e o acesso a uma conta local não privilegiada.
Como medida paliativa, a Red Hat recomenda executar:
bashCopiarEditarecho 0 > /proc/sys/fs/suid_dumpable
Essa configuração desativa dumps de núcleo para binários SUID, o que evita o vazamento, mas também dificulta a análise de falhas desses processos. É uma troca entre segurança e depuração que deve ser avaliada caso a caso.
Distribuições afetadas e recomendações
Além de Ubuntu, RHEL e Fedora, distribuições como Amazon Linux, Debian e Gentoo emitiram alertas. Importante destacar que o Debian não é vulnerável à CVE-2025-4598 por padrão, pois não inclui systemd-coredump salvo instalação manual. Também as versões do Ubuntu não são afetadas pela CVE-2025-4598.
Como recomendação, administradores de sistemas devem:
- Atualizar pacotes assim que correções forem disponibilizadas.
- Aplicar a mitigação sugerida no
/proc/sys/fs/suid_dumpable. - Monitorar ativamente processos SUID e eventos de falha.
- Reavaliar a necessidade de core dumps em sistemas críticos.
O que esperar para o futuro
Essas falhas expõem um vetor pouco explorado: a manipulação de dumps de núcleo como ferramenta de ataque. Embora a exploração exija habilidades técnicas avançadas, a existência de PoCs aumenta o risco de ataques oportunistas. O incidente reforça a necessidade de endurecimento de sistemas Linux, especialmente em ambientes corporativos com alta criticidade de dados.
Além disso, a comunidade deve considerar mudanças mais profundas na forma como falhas são gerenciadas e dumps de núcleo tratados, buscando equilibrar depuração e segurança.
