Ubuntu y Fedora podrían ser afectados por nuevas amenazas que se centran en las herramientas de espacio de usuario donde roban información confidencial de las cuentas.

 

Hace poco hubo un malentendido en el equipo del kernel de Linux que levantó las alertas de Linus Torvalds, donde se registraron solicitudes sospechosas de Kees Cook, pero ya fue solucionado. Ahora, una nueva amenaza ha surgido y esto sí parece ser un peligro para los usuarios de distintas distribuciones populares.

 

Ubuntu, Fedora y Red Hat Enterprise Linux son algunas de las que están en la mira de los hackers, por lo que millones de usuarios son susceptibles a ser afectados si no se hacen las reparaciones adecuadas sobre el respectivo sistema operativo. 

Los expertos han alertado que la situación es grave debido a que rondan exploits centrados en obtener datos sensibles de los equipos que se pueden utilizar para burlar sistemas de seguridad, ransomware, spyware y muchas otras acciones dañinas.

 

Pero, ¿por qué sucede y cómo se evitan estos ataques? Si te has hecho esta pregunta, entonces tienes que prestar mucha atención a la siguiente información que revelan los especialista de Unidad de Investigación de Amenazas de Qualys TRU.

·         Estos exploits podrían recopilar todas tus credenciales sin que te des cuenta

·         ¿Cómo protegerte de estas vulnerabilidades en tu Distro?

Estos exploits podrían recopilar todas tus credenciales sin que te des cuenta

Considerando los detalles otorgados por los expertos, el medio The Hacker News ha compartido el modus operandi del nuevo ciberataque está impactando contra distintas distribuciones de Linux. 

Confirmado por Apport y systemd-coredump, se trata de dos amenazas que son un inconveniente grande, CVE-2025-5054 y CVE-2025-4598, respectivamente. La primera afecta hasta la versión 2.32.0 de apport de Canonical para Ubuntu donde se usan métodos maliciosos para acceder a datos confidenciales con volcados de memoria y reutilización de PID.

La otra, que está en RHEL y Fedora, es una debilidad del proceso SUID (Set User ID) en donde los hackers intervienen. De este modo, los parámetros son modificados de una manera muy veloz para burlar la seguridad con un “permiso de archivo especial”.

“La explotación de vulnerabilidades en Apport y systemd-coredump puede comprometer gravemente la confidencialidad con un alto riesgo, ya que los atacantes podrían extraer datos confidenciales, como contraseñas, claves de cifrado o información de clientes de los volcados de memoria.” Saeed  Abbasi.

La otra, que está en RHEL y Fedora, es una debilidad del proceso SUID son de amenaza elevada porque permiten que los ciberdelincuentes consigan hashes de contraseñas que se guardan en “/etc/shadow”.

Esto quiere decir, que se requiere un acceso local y, aunque eso es complicado, cuando lo consiguen, pueden actuar para crear otros peligros dentro del sistema que no se pueden detectar tan fácil como otros ataques.

Los hackers que logran con efectividad esta estrategia, realizan escalada de privilegios o credential stuffing en diversos servicios que ponen en riesgo la privacidad y seguridad del afectado. Saeed Abbasi, del equipo de Qualys TRU afirma que “Estas condiciones de carrera permiten a un atacante local explotar un programa SUID y obtener acceso de lectura al volcado de núcleo resultante”.

Algunos de los inconvenientes adicionales que podrían llegar con un intruso como este es que se genere la instalación masiva de malwares, robo de datos para extorsión de ransomware o destrucción interna del sistema.

¿Cómo protegerte de estas vulnerabilidades en tu Distro?

Aunque es difícil identificarlos, los desarrolladores de cada una de las distros están trabajando para solucionar estas vulnerabilidades lo antes posible y lo bueno es que hay algunas manera de mantenerse a salvo.

Si eres de Ubuntu, los ordenadores solo son afectados por el exploit PoC y de memoria de CVE-2025-5054, por lo que el paquete apport tiene que ser actualizado lo más rápido posible para mantenerse en una versión segura donde este ataque sea restringido.

Para Red Hat Enterprise Linux y Fedora, se ha confirmado que hay que aplicar los parches directos de  systemd-coredump. Específicamente, en RHEL tienes la posibilidad de bloquear el volcado de núcleo en SUID con el comando “echo 0 > /proc/sys/fs/suid_dumpable”, aunque Red Hat advierte que “Si bien esto mitiga esta vulnerabilidad cuando no es posible actualizar el paquete systemd, deshabilita la capacidad de analizar fallas para dichos binarios”.

Las distribuciones que no cuentan con gestores de volcado de memoria no son afectados por CVE-2025-4598, por lo que sistemas como Debian, están a salvo sin necesidad de realizar métodos de seguridad adicionales, aunque nunca está de más.

En realidad, lo mejor es que, sea cual sea el SO que tengas instalado en tu PC, debes mantenerlo actualizado para que se apliquen los cambios de seguridad, ya que es fundamental para solucionar las debilidades.