I ricercatori di Qualys denunciano che gli aggressori senza privilegi possono ottenere l’accesso al root grazie a una grave falla nelle principali distribuzioni Linux nelle configurazioni predefinite. Ciò può accadere, sfruttando una vulnerabilità di escalation dei privilegi locali (LPE) recentemente rilevata nella libreria glibc (GNU C).
“Quando la componente vulnerabile è una libreria diffusissima come glibc”, commenta Giuseppe Dongu, CISO & Head of Cyber Security di Swascan, “le conseguenze possono avere impatti davvero notevoli“.
“Il fatto che sia stata introdotta in una routine di logging, essenziale per il debugging e il monitoraggio delle applicazioni, amplifica il rischio, poiché tali funzioni sono frequentemente invocate”, aggiunge Riccardo Michetti, Senior Security & Threat Intelligence Analyst di Swascan. Ecco come proteggersi.
Indice degli argomenti
Falla in glibc: i rischi che corrono le distro Linux
La vulnerabilità è nota come CVE-2023-6246 ed è stata riscontrata nella funzione __vsyslog_internal() di Glibc. Riguarda le funzioni syslog e vsyslog, molto popolari per scrivere nel logger dei messaggi di sistema.
“La CVE-2023-6246 in glibc mette in luce un problema critico nel ciclo di vita del software ovvero l’introduzione di bug gravi in componenti software di basso livello, ampiamente utilizzati, come le librerie di sistema”, conferma Riccardo Michetti.
La vulnerabilità è dovuta a una debolezza basata su heap a rischio di buffer overflow introdotta accidentalmente in glibc 2.37 nell’agosto 2022. Successivamente è finita in glibc 2.36 per risolvere una vulnerabilità meno grave nota come CVE-2022-39046.
“Il problema del buffer overflow rappresenta una minaccia significativa in quanto potrebbe consentire l’escalation dei privilegi a livello locale, permettendo a un utente privo di privilegi di ottenere l’accesso completo a root attraverso input artigianali alle applicazioni che utilizzano queste funzioni di registrazione”, hanno dichiarato i ricercatori di Qualys.
“Sebbene la vulnerabilità richieda condizioni specifiche per essere sfruttata (come un argomento identico a argv[0] o openlog() insolitamente lungo), il suo impatto è significativo a causa dell’uso diffuso della libreria interessata”, continua Qualys.
“Scrivere software è un’attività estremamente complessa, e scrivere software sicuro, oltre che essere ormai un requisito imprescindibile, è ancora più complesso”, spiega Giuseppe Dongu: “Tale complessità aumenta esponenzialmente in virtù dell’ecosistema di relazioni fra le varie componenti che tipicamente compongono ogni software. Una vulnerabilità su una di queste componenti si riflette irrimediabilmente sul software di cui è parte”.
E quando la componente contenente una falla è una libreria molto popolare come glibc, le conseguenze sono molteplici e perfino a cascata.
L’impatto sui sistemi Debian, Ubuntu e Fedora
Durante i test, Qualys ha confermato che Debian 12 e 13, Ubuntu 23.04 e 23.10 e Fedora 37-39 sono tutte vulnerabili all’exploit CVE-2023-6246.
“La severity della vulnerabilità scoperta è particolarmente elevata anche in relazione all’ampia diffusione della libreria impattata ed alla sensibilità delle funzioni del sistema operativo coinvolte”, mette in evidenza Vincenzo Sgaramella, Head of PM di Swascan.
Sebbene i test fossero limitati a una manciata di distribuzioni, i ricercatori hanno aggiunto che “probabilmente anche altre distribuzioni sono sfruttabili”.
Analizzando glibc alla luce di altri potenziali problemi di sicurezza, i ricercatori hanno trovato anche altre tre vulnerabilità, due delle quali – più difficili da sfruttare – nella funzione __vsyslog_internal() (CVE-2023-6779 e CVE-2023-6780). Una terza è invece un problema di corruzione della memoria ancora in attesa di un CVEID) nella funzione qsort() di glibc.
“La recente scoperta di queste vulnerabilità non è solo una preoccupazione tecnica, ma una questione di ampie implicazioni per la sicurezza”, ha dichiarato Saeed Abbasi, Product Manager della Threat Research Unit di Qualys.
Come mitigrare il rischio
Per proteggersi, in questi casi, è necessario mantenere aggiornati i sistemi operativi, i programmi e tutte i pezzi del puzzle.
“Conoscere il rischio ci consente di applicare la remediation tenendo aggiornati i software e le relative componenti”, sottolinea Giuseppe Dongu: “Questa raccomandazione vale tanto per gli utilizzatori finali, quanto per gli sviluppatori che utilizzano quella componente all’interno dei loro software”.
Comunque “queste falle evidenziano la necessità critica di misure di sicurezza rigorose nello sviluppo del software, in particolare per le librerie di base ampiamente utilizzate in molti sistemi e applicazioni”, aggiunge Saeed Abbasi di Qualys.
Inoltre, “la situazione sottolinea l’importanza di un processo di revisione del codice e di test più rigorosi per le librerie critiche, nonché la necessità di una rapida risposta degli amministratori di sistema per applicare le patch non appena diventano disponibili”, conclude Riccardo Michetti.
Infine, la scoperta della falla in glibc risalta “l’importanza di implementare processi di patch management per l’applicazione tempestiva di remediation e di servizi di monitoraggio proattivo per intercettare le attività malevoli”, conclude Vincenzo Sgaramella: “È opportuno anche monitorare l’andamento dell’Exploit Prediction Scoring System (EPSS) per avere accortezza del livello di effettivo sfruttamento degli exploit disponibili”.