En los últimos días se ha detectado un problema que ha afectado por igual tanto a Antergos como a Manjaro, y es que los instaladores de ambas distribuciones han estado generando contraseñas cifradas débiles para los usuarios, abriendo de esta manera la puerta a posibles ataques mediante fuerza bruta (probar combinaciones de contraseñas hasta hallar la correcta).
Se ha detectado en Manjaro y Antergos que sus instaladores usan un “sal” (o salt) predecible, permitiendo que se pueda llevar a cabo con éxito ataques mediante fuerza bruta si un atacante obtiene el hash de las contraseñas y averigua el valor sal empleado. Las contraseñas “hasheadas” son almacenadas por defecto en el fichero /etc/shadow, por lo que la única manera que tiene el atacante de obtenerlas es accediendo como root en el sistema.
El problema es más serio de lo que puede aparentar, ya que un valor predecible significa que las contraseñas en diferentes instalaciones han podido ser “hasheadas” con el mismo sal. Si un atacante obtiene los hash de las contraseñas de varias instalaciones, podría usar el sal predecible para construir una tabla con las posibles contraseñas.
Cambiar las contraseñas es la medida de mitigación recomendada
La medida de mitigación recomendada por las comunidades de Manjaro y Antergos es cambiar las contraseñas de root y el primer usuario común mediante passwd. Para realizar ambos cambios se tienen que seguir los siguientes pasos:
passwd # Cambiar la contraseña del usuario común o personal
Ahora toca hacer lo mismo con root:
su # Para acceder como root passwd # Para cambiar la contraseña de root
Los usuarios creados después del proceso de instalación no están afectados por este problema, por lo que sus contraseñas no tienen por qué ser modificadas. En caso de haberse cambiado las contraseñas de los dos primeros usuarios (root y el primero personal) tras el proceso de instalación tampoco hay necesidad de volver a cambiarlas.
Versiones de los instaladores afectadas
Las versiones de los instaladores afectadas por este fallo de seguridad son las anteriores a la v0.14.287 en Cnchi, las anteriores a la v0.9.5.2 en Thus y las anteriores a la v3.1.0.2 en Calamares.
La comunidad de Manjaro ya ha lanzado la versión 17.0.2 de su sistema operativo, que incorpora las modificaciones para corregir la vulnerabilidad de contraseñas débiles hallada en Thus y Calamares. Por su parte, Cnchi en Antergos será parcheado de forma automática al actualizarse a sí mismo en el momento en que es iniciado.
Fuentes: Foro de Manjaro y Wiki de Antergos