Últimas 15minutos

BleedingTooth, el fallo en Linux que ejecuta código sin permiso con Bluetooth

Esta vulnerabilidad puede explotarse sin necesidad de que haya interacción por parte de los usuarios

El error de seguridad, que es descrito como de "gravedad alta", permite que los atacantes lleven a cabo una escalada de privilegios o la obtención de información (Pixabay/Esa Riutta)

15 minutos. Google e Intel descubrieron un conjunto de vulnerabilidades presentes en el sistema operativo de código abierto Linux, bautizadas como BleedingTooth, que afectan a su subsistema de Bluetooth y que permiten ejecutar código de forma remota a los cibercriminales sin permiso de validación.

BleedingTooth (diente sangrante') es una vulnerabilidad cero-clic. Es decir, puede explotarse sin necesidad de que haya interacción por parte de los usuarios de los equipos con Linux. Así lo explicó el investigador de ciberseguridad de Google, Andy Nguyen.

El fallo en cuestión se encuentra presente en el subsistema de Linux que gestiona las conexiones Bluetooth. Puede permitir que un atacante ejecute código de forma arbitraria con privilegios del kernel. Para ello, solo es necesario que el hacker se encuentre a corta distancia, dentro del rango de Bluetooth.

Un fallo de Linux de gravedad alta usando Bluetooth

El fallo de seguridad fue advertido también por los equipos de ciberseguridad de Intel, que lo describieron como de "gravedad alta". Explicaron que permite que los atacantes lleven a cabo una escalada de privilegios o la obtención de información.

Entre las 3 vulnerabilidad que componen el fallo de seguridad, según Intel, la más grave es la que permite la "validación de entradas indebida" -valorada con una gravedad de 8,3-, mientras que las otras implican un "control de acceso indebido" y "restricciones del búfer indebidas".

Intel ha asegurado que BlueZ, la capa de Linux que gestiona la conectividad del sistema, va a lanzar parches de seguridad en el kernel del sistema para solucionar estos problemas.

No obstante, Intel recomienda actualizar el kernel de Linux a la versión 5.10 o superior, aunque este parche del sistema aún no se ha lanzado actualmente, según Nguyen.

Ver más