Falla di sicurezza permette d’essere amministratore su Linux
Gli esperti di Qualys hanno dimostrato che queste falle possono essere sfruttate con successo su tante distribuzioni Linux popolari come Ubuntu, Debian, Fedora e openSUSE.
Sebbene la sicurezza sia un tema comune e centrale in tutti i settori, per i cybercriminali a volte le cose si fanno più semplici del previsto. La Threat Research Unit (TRU) di Qualys, Inc. ha scoperto due falle di sicurezza che, combinate insieme, permettono a un utente normale di prendere il controllo completo di un sistema Linux, diventando di fatto amministratore (root). Mettendo insieme questi due problemi, anche un utente senza alcun privilegio speciale può diventare amministratore del sistema con pochi passaggi.
Gli esperti di Qualys hanno dimostrato che queste falle possono essere sfruttate con successo su tante distribuzioni Linux popolari come Ubuntu, Debian, Fedora e openSUSE.
Entrando nel merito tecnico
Il primo problema riguarda un componente chiamato PAM. Questo è usato in alcune versioni di Linux come openSUSE Leap 15 e SUSE Linux Enterprise 15. Grazie a questa falla, un utente che si collega da remoto (ad esempio via SSH) può ottenere dei permessi speciali chiamati “allow_active”, che normalmente sono riservati solo a chi usa fisicamente il computer.
Il secondo problema riguarda un altro componente chiamato libblockdev. Questo è usato da un servizio chiamato udisks, presente praticamente in tutte le versioni di Linux. Questo difetto permette a chi ha i permessi “allow_active” di diventare amministratore con pieni poteri. Questo è molto pericoloso perché udisks è installato di default su quasi tutti i computer Linux quindi pressoché tutti i sistemi sono vulnerabili.
Cosa sono PAM e udisks/libblockdev?
PAM è un sistema che gestisce come gli utenti si collegano e usano il computer. Su alcune versioni di Linux, PAM può sbagliare a riconoscere se un utente è davvero davanti al computer o se si collega da remoto. Dando così permessi speciali a chi non dovrebbe averli.
Udisks è un programma che aiuta a gestire i dischi e le unità di memoria del computer (per esempio, montare o smontare dischi). Per funzionare, usa una libreria chiamata libblockdev. Se questa libreria ha un problema, chi usa udisks con i permessi “allow_active” può ottenere il controllo totale del sistema.
Perché è così grave?
Questa combinazione di falle permette a un utente normale che ha accesso al sistema (anche solo via SSH) di diventare amministratore in pochi secondi. Senza bisogno di tecniche complicate o strumenti particolari. Avere il controllo come amministratore significa poter fare qualsiasi cosa sul computer. Come disattivare sistemi di sicurezza, installare programmi nascosti, modificare dati e molto altro.
Se un solo server non è aggiornato, può diventare un punto di partenza per attacchi più grandi su tutta la rete aziendale.
Come proteggersi?
Secondo gli esperti di Qualys TRU, la soluzione migliore è aggiornare subito i sistemi con le patch fornite dai produttori di Linux. Inoltre, è importante modificare alcune regole di sicurezza per richiedere sempre una conferma da parte di un amministratore quando si vogliono fare modifiche ai dispositivi di archiviazione. Perché anche componenti comuni e preinstallati possono nascondere rischi seri.
