Linux: bug vecchio di 7 anni espone a rischio di esecuzione remota

Una nuova vulnerabilità critica nel kernel Linux, risalente a sette anni fa, è stata recentemente scoperta dai ricercatori di Allele Security Intelligence. Tale bug potrebbe consentire agli aggressori di eseguire codice remoto. Il difetto, identificato nel sottosistema TCP core, è stato introdotto tramite una condizione di gara nella funzione inet_twsk_hashdance. Questo problema, ora tracciato come CVE-2024-36904, è stato corretto l’anno scorso dopo essere stato segnalato dai ricercatori di sicurezza. La vulnerabilità deriva da una condizione di competizione tra le funzioni tcp_twsk_unique() e inet_twsk_hashdance(). In particolare, il problema si verifica perché il contatore di riferimento di un socket TCP time-wait viene inizializzato dopo essere stato inserito in una tabella hash e aver rilasciato un blocco. Se si verifica una ricerca prima di questa inizializzazione, l’oggetto viene trovato con un contatore di riferimento azzerato. Ciò attiva avvisi e potrebbe portare a potenziali scenari use-after-free.

Il difetto è stato notato per la prima volta durante audit di routine del codice sorgente del kernel Linux e test di fuzzing utilizzando strumenti come Syzkaller. Inizialmente i ricercatori miravano a riprodurre un altro bug noto, ma hanno scoperto inavvertitamente questa vulnerabilità più profonda. Allele Security Intelligence ha confermato la sua presenza in diverse distribuzioni Linux, tra cui i derivati ​​di Red Hat Enterprise Linux e Fedora.

Linux: potenziale di sfruttamento della vulnerabilità

Sebbene i kernel Linux includano protezioni contro i problemi legati ai contatori di riferimento, questa vulnerabilità riesce ad aggirarle in determinate condizioni. Se le operazioni sul socket vengono eseguite in una sequenza precisa, il contatore di riferimento può diventare instabile, causando il rilascio anticipato di un oggetto. Ciò può portare a un vero e proprio exploit di tipo use-after-free. Inoltre, potrebbe permettere agli attaccanti di eseguire codice arbitrario all’interno del kernel. Gli exploit proof-of-concept hanno dimostrato che questa vulnerabilità può essere attivata in condizioni controllate.

Tuttavia, lo sfruttamento nel mondo reale richiederebbe tempistiche precise e una comprensione degli interni del kernel. La vulnerabilità è stata corretta a monte a maggio 2024. Gli amministratori sono invitati ad aggiornare i propri sistemi alle versioni del kernel contenenti la correzione.  Per i sistemi ​​di Red Hat Enterprise Linux e altre distribuzioni interessate, è fondamentale applicare le patch fornite dal fornitore. La scoperta di Allele Security sottolinea l’importanza di pratiche di auditing e patching proattive del kernel. Poiché le vulnerabilità possono persistere inosservate per anni, le organizzazioni dovrebbero dare priorità agli aggiornamenti tempestivi per mitigare i rischi associati ai difetti legacy. Il caso CVE-2024-36904 evidenzia come anche le vulnerabilità di lunga data possano rappresentare minacce significative per la sicurezza se non affrontate.