iTerm2 (vulnerability in client software)

iTerm2 Arbitrary Code Execution via Malicious Terminal Output Impersonating SSH Conductor Protocol

trust-failure

causa raíz

Timeline del incidente

Mar 30 · Security Researchers

Bug reported to iTerm2 by researchers.

Mar 31 · iTerm2 Developer

Bug fixed in commit a9e745993c2e2cbb30b884a16617cd5495899f86.

At time of writing

Fix not yet released in stable versions.

Análisis técnico

El incidente describe una vulnerabilidad crítica en iTerm2 que permite la ejecución arbitraria de código simplemente al mostrar un archivo de texto malicioso (ej. cat readme.txt). La causa raíz es una falla de confianza fundamental: iTerm2 acepta secuencias de escape de protocolo SSH conductor (DCS 2000p y OSC 135) de cualquier salida de terminal, sin verificar si la fuente es realmente una sesión de conductor SSH legítima. Esto permite que una salida de terminal no confiable (como el contenido de un archivo) se haga pasar por el conductor remoto.

La cascada de fallo se inicia cuando el archivo malicioso imprime secuencias de escape que simulan el inicio de una sesión de conductor y respuestas a las solicitudes iniciales de iTerm2 (como getshell() y pythonversion()). iTerm2, creyendo que está interactuando con un conductor real, procede con su flujo de trabajo normal, que incluye la construcción y envío de un comando run(...). El atacante manipula los sshargs dentro del DCS 2000p forjado para que, cuando iTerm2 codifica en base64 el comando run, una parte específica del payload base64 resultante se convierta en una ruta de archivo ejecutable válida (ace/c+aliFIo).

Las salvaguardas fallaron porque iTerm2 no aisló ni validó adecuadamente la fuente de las secuencias de escape del protocolo. La suposición de que solo el conductor SSH legítimo generaría estas secuencias fue incorrecta. Cuando iTerm2 escribe su comando base64-encoded run al PTY, en ausencia de un conductor SSH real, el shell local lo recibe como entrada. Si la última parte del comando base64-encoded coincide con un ejecutable local (previamente colocado por el atacante), el shell lo ejecuta, logrando la ejecución de código arbitrario. La confusión del PTY es clave: iTerm2 envía comandos al PTY, esperando que SSH los reenvíe, pero en el escenario de explotación, el shell local los interpreta directamente.

Remediaciones y action items

✓ Implementar validación estricta de la fuente de las secuencias de escape del protocolo SSH conductor, asegurando que solo provengan de una sesión de conductor SSH verificada.
✓ Aislar el procesamiento de secuencias de escape de protocolos internos de la salida general de la terminal para evitar la suplantación.
✓ Sanitizar o ignorar secuencias de escape de protocolo cuando se detectan fuera de un contexto de protocolo esperado y establecido.

Lecciones para arquitectos

→ Nunca confíes en la entrada del usuario o en datos externos para la ejecución de comandos o la interpretación de protocolos sin validación estricta del contexto y la fuente.
→ Los protocolos que se multiplexan sobre canales de datos de propósito general (como terminal I/O) deben tener mecanismos robustos para distinguir mensajes legítimos de datos arbitrarios.
→ La separación de privilegios y el aislamiento de contexto son cruciales; no asumas que un canal de comunicación es seguro solo porque se usa para un propósito específico.
→ Las máquinas de estado de protocolo deben ser resistentes a transiciones inesperadas o entradas fuera de secuencia, fallando de forma segura en lugar de intentar interpretar datos maliciosos.
→ Considera el 'peor caso' de lo que un atacante puede inyectar en cada punto de entrada de tu sistema, incluso en flujos de trabajo aparentemente inofensivos.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp