Las capabilities dividen los privilegios de root en unidades granulares. Esto permite que un binario (sin SUID) ejecute acciones potentes si posee la capacidad correcta, como CAP_NET_RAW para escanear puertos o inyección de paquetes. Es un vector de PE crucial en entornos de baja confianza.
Comando Práctico:
Identifica binarios con capacidades asignadas para buscar posibles rutas de ataque:getcap -r / 2>/dev/null
Ejemplo: getcap /usr/bin/ping (normalmente muestra cap_net_raw+ep).
Mitigación:
Audita las capabilities de los procesos en ejecución con capsh --print. Limita el uso de setcap solo a los binarios y aplicaciones estrictamente necesarios. Elimina capacidades con setcap -r /ruta/binario cuando ya no se requieran.
¿Qué otra herramienta usan para auditar permisos avanzados en sistemas operativos Linux?
Categorías: Seguridad Informática
Daniel Maldonado
¡Hola! Soy Daniel Maldonado, Sr. Analista de Seguridad Informática y me dedico al hacking desde hace más de 10 años.
0 comentarios