Se han identificado vulnerabilidades en las configuraciones del servidor DHCP Kea utilizado por varias distribuciones, que está siendo desarrollado por el consorcio ISC como reemplazo del clásico DHCP de ISC, y que en algunas situaciones permite a un usuario local ejecutar código con privilegios de root o sobrescribir cualquier archivo en el sistema:
- CVE-2025-32801: Permite que un usuario local obtenga privilegios de root en sistemas que ejecutan Kea como usuario root, u obtenga control total sobre el servidor Kea en sistemas que ejecutan Kea como un usuario con privilegios reducidos. El ataque se lleva a cabo llamando a la API REST proporcionada por el servicio kea-ctrl-agent, que por defecto acepta solicitudes a través de localhost:8000. En la mayoría de las configuraciones, la API REST está disponible para todos los usuarios locales del sistema sin autenticación.
La operación se realiza mediante el envío del comando set-config, que permite administrar la configuración de todos los servicios de Kea. Entre otras cosas, el comando se puede utilizar para cambiar el parámetro "hooks-libraries", que afecta la carga de bibliotecas de ganchos adicionales. Un atacante puede lograr la ejecución de su código en el contexto de los servicios de Kea sustituyendo su biblioteca por una función con el atributo "constructor" desde la cual será llamada cuando la biblioteca sea abierta por la función dlopen(). curl -X POST -H "Tipo-de-contenido: aplicación/json" \ -d '{ "comando": "conjunto-de-configuración", "argumentos": { "agente-de-control": { "bibliotecas-de-ganchos": [{ "biblioteca": "/home/algúnusuario/libexploit.so"}] }}}' \ localhost:8000
- CVE-2025-32802 - Una vulnerabilidad permite utilizar el comando config-write en la API REST para sobrescribir cualquier archivo en el sistema, siempre que lo permitan los privilegios del usuario bajo el cual se ejecuta Kea. El atacante puede controlar el contenido que se escribe, pero los datos se escriben en formato JSON y deben incluir la configuración correcta de Kea. Sin embargo, es posible que esto sea suficiente para ejecutar comandos con privilegios de root manipulando archivos en el directorio /etc/profile.d. curl -X POST -H "Tipo de contenido: aplicación/json" \ -d '{ "comando": "config-write", "argumentos": { "nombre de archivo": "/etc/evil.conf" } }' \ localhost:8000
Se mencionan por separado varios escenarios para utilizar el comando config-write para cambiar la configuración de Kea. Por ejemplo, puede redirigir archivos de registro a cualquier ubicación en el sistema de archivos, organizar la suplantación de sockets de control de servicios UNIX o bloquear el funcionamiento de Kea.
- CVE-2025-32803: archivos de registro (/var/log/kea*.log) y /var/lib/kea/*.cvs que contienen información de enlace direcciones IP (El arrendamiento DHCP) y los datos relacionados están disponibles para que todos puedan leerlos.
Ejecutar Kea como usuario root es una práctica común en las distribuciones Arch. Linux, Gentoo, openSUSE Tumbleweed (hasta el 23 de mayo), FreeBSD, NetBSD (pkgsrc) y OpenBSD. Debian, Ubuntu En Fedora, el servicio se ejecutaba bajo un usuario independiente sin privilegios. En Gentoo, el paquete Kea solo está disponible en el repositorio inestable para la arquitectura amd64. UbuntuA diferencia de otros sistemas, el servicio kea-ctrl-agent solo se iniciaba si se especificaba en la configuración el acceso protegido por contraseña a la API REST. Puede consultar las actualizaciones de paquetes para las distribuciones en las siguientes páginas: Debian, Ubuntu, RHEL, openSUSE, Fedora, Gentoo, ALT Linux, Arch, FreeBSD, OpenBSD y NetBSD.
Además, cabe destacar una vulnerabilidad (CVE-2025-23394) que aparece en el paquete con el servidor IMAP Cyrus, suministrado por el proyecto openSUSE en los repositorios Tumbleweed y Factory. La vulnerabilidad permite a un usuario local elevar los privilegios del usuario cyrus a root. A la vulnerabilidad se le asigna un nivel de gravedad crítico (9.8 sobre 10), pero es irrazonablemente alto, ya que el ataque requiere privilegios cyrus, que pueden obtenerse explotando alguna otra vulnerabilidad en cyrus-imapd.
El problema se debe a un error en el manejo de enlaces simbólicos en el script daily-backup.sh, que es específico de las distribuciones SUSE/openSUSE. La vulnerabilidad es que el script daily-backup.sh se ejecuta con privilegios de root, pero escribe en el directorio /var/lib/imap, donde el usuario sin privilegios cyrus puede crear archivos. El ataque consiste en crear un enlace simbólico que apunte a un archivo del sistema (por ejemplo, puede crear un enlace simbólico /var/lib/imap/mailboxes.txt que apunte a /etc/shadow). La vulnerabilidad se ha corregido en la versión 3.8.4-2.1 del paquete cyrus-imapd.
Fuente: opennet.ru
