Alcuni non ben identificati malintenzionati, sembra che possano ottenere pieno accesso root su macchine Linux sfruttando una nuova vulnerabilità di sicurezza rivelata nella libreria GNU C (nota anche come glibc).
Questo caso è molto interessante perché negli anni il mito di “Linux impenetrabile”, comincia sempre più a cadere, causa anche il fatto che, non solo nel mondo i sistemi basati su suddetto Kernel sono usati da più persone, ma perché sono aumentati i controlli sulle vulnerabilità da parte delle aziende di sicurezza informatica.
Cosa sappiamo di questa problematica relativa alla nota libreria GNuC (glibc) di Linux
Monitorata come CVE-2023-6246, la vulnerabilità di overflow del buffer basata su heap ha origine nella funzione __vsyslog_internal() di glibc, che viene utilizzata da syslog() e vsyslog() per scopi di registrazione del sistema; si crede che sia stata introdotta accidentalmente nell’agosto 2022 con il rilascio di glibc 2.37.
“Questo difetto consente l’intensificazione di privilegi locali [tra i quali root e quelli di amministratore], consentendo a un utente non privilegiato di ottenere pieno accesso root”, ha detto Saeed Abbasi, product manager dell’Unità di Ricerca sulle Minacce presso Qualys, aggiungendo che colpisce importanti distribuzioni Linux come Debian, Ubuntu e Fedora.
Un criminale informatico potrebbe sfruttare il difetto per ottenere permessi elevati tramite input appositamente creati per applicazioni che utilizzano queste funzioni di registrazione.
“Sebbene la vulnerabilità richieda condizioni specifiche per essere sfruttata (come un argv[0] o un argomento ident di openlog() insolitamente lungo), il suo impatto è significativo a causa dell’uso diffuso della libreria interessata”, ha notato Abbasi.
La società di cybersecurity ha detto che ulteriori analisi su glibc hanno portato alla luce altri due difetti nella funzione __vsyslog_internal() (CVE-2023-6779 e CVE-2023-6780) e un terzo bug nella funzione qsort() della libreria che può portare a corruzione della memoria.
La cosa molto interessante di tutto questo è che la vulnerabilità riscontrata in qsort() ha interessato tutte le versioni di glibc rilasciate dal 1992.
Lo sviluppo arriva quasi quattro mesi dopo che Qualys ha dettagliato un altro difetto di alta gravità nella stessa libreria chiamato Looney Tunables (CVE-2023-4911, punteggio CVSS: 7.8) che potrebbe comportare un’intensificazione dei privilegi di root e amministratore.
“Questi difetti evidenziano la necessità critica di misure di sicurezza rigorose nello sviluppo del software, soprattutto per le librerie centrali ampiamente utilizzate in molti sistemi e applicazioni”, ha detto Abbasi.
Un problema relativo alla sicurezza su sistemi operativi Linux
Se da un lato è vero che l’open source, vedasi sistemi operativi su base Linux in questo caso, permette le soluzioni nell’immediato, dall’altro molti programmi open source, tra cui anche le librerie come Glibc, possono sfuggire ad una serie di controlli, vuoi per poca popolarità e utilizzo solo in casi particolari, vuoi per altri motivi, da parte degli addetti ai lavori.
Sebbene esistano degli strumenti in grado di rilevare minacce, non tutti sono in grado però di leggere il codice e modificarlo, anzi, pochissime persone, anche perché andare a scovare il lato di codice interessato è tutt’altro che una passeggiata; non a caso questa libreria ha una funziona con un problema che si è portata avanti dal 1992.
In casi come questo non ci sono antivirus o antimalware che tengono, semplicemente bisogna aspettare che gli addetti ai lavori modifichino le righe di codice interessate e risolvano il problema una volta per tutte.
