Non è la prima volta che i ricercatori di Qualys scoprono una falla che permette di acquisire i privilegi root in ambiente Linux. Questa volta, la lacuna recentemente individuata riguarda GNU C Library (glibc) ed è capace di mettere a rischio la sicurezza di diverse distribuzioni Linux, nelle configurazioni predefinite. La vulnerabilità in questione, classificata con l’identificativo CVE-2023-6246, permette l’acquisizione di privilegi più elevati (quindi i diritti di root) sulle macchine affette dalla problematica.
glibc è una libreria di supporto essenziale per i programmi scritti in linguaggio C. Svolge un ruolo fondamentale nel fornire un’interfaccia standard tra i programmi e il sistema operativo su cui essi sono eseguiti. La falla di privilege escalation colpisce una funzione interna di syslog e vsyslog, due componenti importanti nel contesto della registrazione dei log di sistema su sistemi Unix e Unix-like, inclusi sistemi operativi basati su GNU/Linux.
syslog è un protocollo e un’applicazione per la registrazione dei log di sistema; vsyslog è una versione avanzata che offre funzionalità di registrazione virtuale per una gestione più specifica dei log in ambienti complessi. Sono ampiamente utilizzati per garantire la tracciabilità e la risoluzione dei problemi attraverso la registrazione di eventi significativi.
Acquisire i privilegi root sui sistemi Linux vulnerabili
Gli esperti di Qualys hanno sottolineato l’entità del rischio: il problema di buffer overflow costituisce una minaccia significativa in quanto potrebbe consentire a un utente malintenzionato di guadagnare l’accesso completo al sistema come root, attraverso input predisposti ad arte inviati alle applicazioni che utilizzano le funzioni di logging syslog e vsyslog.
Durante i test, i ricercatori hanno confermato che Debian 12 e 13, Ubuntu 23.04 e 23.10 e Fedora (dalla release 37 alla 39 comprese) risultano vulnerabili. Nonostante i controlli siano stati effettuati su una manciata di distribuzioni, i ricercatori hanno sottolineato che verosimilmente sono altre le distribuzioni Linux interessate dallo stesso problema di sicurezza.
Per risolvere il problema, è essenziale installare gli ultimi pacchetti aggiornati sulle distribuzioni Linux in uso, usando il package manager di riferimento. Ne parliamo nell’articolo su come creare un server Linux.
Il comando seguente, comunque aiuta a stabilire la versione della libreria glibc presente sul sistema:
ldd --version
Va tenuto presente che le uniche versioni vulnerabili sono glibc 2.36 e 2.37: le successive integrano la correzione che risolve la vulnerabilità.
Come accennavamo nell’introduzione, non si tratta del primo allarme lanciato da Qualys riguardo alla sicurezza di Linux. Nel corso degli anni, i ricercatori hanno individuato diverse vulnerabilità che consentono agli attaccanti di assumere il controllo completo di sistemi Linux non patchati, persino nelle configurazioni predefinite.
Tra le scoperte precedenti, rientrano una falla nel dynamic loader di glibc (Looney Tunables), una in pkexec di Polkit (chiamata PwnKit), un’altra a livello di gestione del file system nel kernel (Sequoia) e una nel programma Unix Sudo.
Dopo la divulgazione della vulnerabilità Looney Tunables (CVE-2023-4911), gruppi di aggressori hanno iniziato a usare versioni modificare dei codici PoC (proof-of-concept) condivisi online per rubare credenziali di accesso dai provider cloud e impiantare malware.
Credit immagine in apertura: Microsoft Bing Image Creator.