Alert Logic: nuovo bug Grinch colpisce le piattaforme basate su Linux


I ricercatori di sicurezza di Alert Logic hanno portato alla luce una vulnerabilità nelle piattaforme Linux che potrebbe interessare ogni sistema, compresi server, smartphone e tablet Android. Questa vulnerabilità, soprannominata "Grinch", nome che rievoca il famoso personaggio dei fumetti creato da Dr. Seuss, potrebbe potenzialmente consentire a un utente di ottenere l'accesso di root di un sistema, bypassando quindi tutti i meccanismi di sicurezza per lasciare la macchina di destinazione del tutto inerme. Questo difetto, dopo la vulnerabilità "Poodle" che colpisce i prodotti conformi alle specifiche SSL 3.0, permetterebbe di scalare i privilegi ad insaputa dell'utente.

Dal momento che siamo nel bel mezzo della stagione delle vacanze, Alert Logic, azienda che si occupa di sicurezza informatica, ha analizzato quali sistemi operativi supportano le esigenze di e-commerce per la distribuzione dei loro prodotti e quali realizzano i negozi online al dettaglio. A causa del basso costo di proprietà e dell'efficienza di un sistema operativo non avido di risorse che consente di eseguire le applicazioni più agevolmente, Alert Logic ha scoperto che Linux domina quando si tratta di siti e-commerce. Secondo un rapporto 2013 di W3Tech, circa il 65 percento di tutti i server Web su Internet utilizzano un sistema operativo basato su Unix/Linux.

La società ha scoperto il bug "Grinch" che ha impatto su tutte le piattaforme Linux, inclusi i dispositivi mobili. Fortunatamente, ci sono dei modi per rilevare l'exploit nel proprio ambiente fino a quando una patch non verrà rilasciata. Questa non è la prima vulnerabilità importante ad essere scoperta in Linux. Nell'agosto di quest'anno, Alert Logic ha pubblicato un post sul blog che descrive lo sfruttamento del nuovo sistema di registrazione (JournalD) per dirottare le sessioni di terminal per eseguire a distanza comandi. Dopo ulteriori analisi ulteriori gli esperti hanno scoperto un bug nel nuovo sistema di autorizzazione che permette la scalata di privilegi attraverso wheel.  

I sistemi Unix utilizzano wheel per controllare i privilegi di accesso. Wheel è uno speciale gruppo di utenti che controlla l'accesso al comando Su, che consente all'utente di passare a un altro utente. Quando un sistema Linux è built, l'utente predefinito è assegnato al gruppo wheel che permette l'esecuzione dell'attività amministrativa all'interno del sistema. Ad esempio, se il file è di proprietà dell'utente XYZ e wheel di gruppo, verrà eseguito come XYZ:wheel, non importa chi esegue il file. Nuovi ecosistemi Linux tentano di applicare nuovi metodi di autenticazione e autorizzazione per rimuovere una vasta gamma di vettori di vulnerabilità introdotte con setuid binari casuali. 

Esiste, spiega Alert Logic, qualche accorgimento per arginare il problema. Mentre è possibile guardare alle capabilities come parte della cura, Kit Policy (polkit) è uno dei principali driver per allontanarsi dai setuid binari. Un semplice "man polkit" permette di leggere in profondità nel nuovo authorization API dei programmi privilegiati. Polkit può essere utilizzato dai processi privilegiati per decidere se deve eseguire operazioni privilegiate sull'account dell'utente richiedente. Per gli strumenti eseguiti direttamente, polkit offre un programma di aiuto setuid-root chiamato ''pkexec". Configurare al meglio Polkit per evitare che vengano scavalcate le protezioni di base. 

I ricercatori hanno detto che questa vulnerabilità non è mai stata utilizzata finora. Red Hat sottolinea che non si tratta di un problema di sicurezza, ma un comportamento previsto del PackageKit client console. Quindi nessun danno maggiore è stato fatto. Si consiglia di limitare le autorizzazioni degli utenti sui sistemi Linux e anche monitorare l'attività degli utenti fino a quando una patch adeguata non viene rilasciata. A livello di vulnerabilità, Grinch potrebbe essere paragonato a Shellshock, un problema che riguarda tutti i sistemi Unix-Like che adottano un'interfaccia Bash (tra cui OS X di Apple). Un difetto che ricorda Heartbleed, il bug nella libreria del software di crittografia.

Nessun commento:

Posta un commento