Falla zero-day su Linux: a rischio milioni di PC, server e device Android

Falla zero-day su Linux: a rischio milioni di PC, server e device Android

Scoperta una nuova falla zero-day presente a partire dalla versione 3.8 del kernel Linux. Permette di sbloccare i permessi di root su PC, smartphone e dispositivi embedded

di pubblicata il , alle 09:17 nel canale Sicurezza
Android
 

Per quasi tre anni milioni di server e dispositivi in genere basati su kernel Linux sono stati vulnerabili ad attacchi che avrebbero permesso ad un'app priva di privilegi o a un utente terzo di ottenere un controllo quasi del tutto completo della macchina. Si attende un fix entro la fine della settimana, tuttavia la difficoltà nel rilascio di aggiornamenti tipica di Android, basato anch'esso su Linux, potrebbe lasciare telefoni e dispositivi embedded esposti alla vulnerabilità per lunghi periodi.

La falla zero-day può essere sfruttata in una vasta scelta di configurazioni: PC e server Linux, smartphone Android.

La falla è stata introdotta sulla versione 3.8 di Linux rilasciata nei primi mesi del 2013. Risiede nel portachiavi del sistema operativo, la funzionalità necessaria per memorizzare le chiavi di crittografia, i token per l'autenticazione ed altri dati sensibili in maniera del tutto sicura e in modo tale che le altre applicazioni installate sul sistema non possano accedere al suo contenuto. Ad aver rivelato l'esistenza della vulnerabilità è stata la firma Perception Point, che ha già diffuso le specifiche dell'exploit alla community di sviluppatori Linux.

Un bug di questo tipo sul kernel Linux è di notevole entità visto che può essere sfruttato in una vasta scelta di configurazioni. Sui server chi ha accesso locale può sfruttarlo per ottenere i permessi di root sul sistema. Su smartphone con KitKat e successivi può consentire ad un'app malevola di irrompere nella sandbox di sicurezza e ricevere la possibilità di controllare le funzioni più remote e sensibili del sistema operativo. La falla può essere sfruttata anche su piccoli dispositivi basati su versioni embedded di Linux.

Nonostante ci siano accorgimenti per impedire o rendere più difficile l'esecuzione dell'exploit sfruttando la nuova falla zero-day, come ad esempio la prevenzione dell'accesso alla supervisor mode su server o le modalità di sicurezza più moderne su Android, si tratta di protezioni che possono comunque essere aggirate stando ai ricercatori della società di sicurezza.

"Al momento in cui scriviamo questa vulnerabilità coinvolge approssimativamente decine di milioni di PC Linux e server e il 66% di tutti i dispositivi Android, siano essi smartphone o tablet", hanno dichiarato i ricercatori di Perception Point sul blog ufficiale. "Anche se nessuno del nostro team ha osservato exploit effettivamente attivi che sfruttano questa vulnerabilità, è consigliabile che gli esperti della sicurezza esaminino i dispositivi potenzialmente coinvolti, rilasciando patch di sicurezza il più presto possibile".

In passato i canali di distribuzione dei malware focalizzavano le loro attenzioni soprattutto su Windows, in assoluto il più diffuso in molte categorie consumer ed enterprise. Nel corso del tempo si è prestata sempre più attenzione alle piattaforme concorrenti, con molteplici malware rilasciati anche su Linux e su Android rivolti soprattutto al furto di dati sensibili. Una vulnerabilità come quella rivelata da Perception Point lascia scoperta la possibilità di sviluppare malware potenzialmente molto nocivi, soprattutto se non viene rilasciato un fix in tempo dai vari produttori e distributori di hardware.

Il bug viene indicizzato come CVE-2016-0728 e molte distribuzioni Linux dovrebbero rilasciare le patch di sicurezza entro il prossimo giovedì.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Opteranium20 Gennaio 2016, 10:00 #1
Se ho capito, però, serve accesso locale alla macchina, giusto? In quel caso non sarebbe così terribile, almeno per me
floc20 Gennaio 2016, 10:03 #2
mah, ci hanno gia' messo una pezza xke' la news e' di una settimana fa, e leggendo
http://perception-point.io/2016/01/...-cve-2016-0728/ che spiega il funzionamento non mi sembra cosi' catastrofica come cosa considerando la diffusione di smep e/o aslr, anche su android
GTKM20 Gennaio 2016, 10:45 #3
Non che mi interessi, ma, secondo me, se tale falla fosse stata trovata su Windows o OSX, ci sarebbero già 20 pagine di commenti del tipo:"Ahahah sistemi groviera, pieni di bug, buuuuuu"
TheSim20 Gennaio 2016, 11:05 #4
Originariamente inviato da: GTKM
Non che mi interessi, ma, secondo me, se tale falla fosse stata trovata su Windows o OSX, ci sarebbero già 20 pagine di commenti del tipo:"Ahahah sistemi groviera, pieni di bug, buuuuuu"


È che mentre i bug di questo tipo su windows non fanno più notizia, su Linux sono molto rari.. E se non ricordo male, è un bug che richiede l'accesso fisico al dispositivo.
calabar20 Gennaio 2016, 11:32 #5
Ma se non ci sono exploit attivi che sfruttano la falla, ha senso parlare di zero-day? Di norma una falla zero-day viene scoperta appunto quando sfruttata.
panda8420 Gennaio 2016, 11:33 #6
Come sempre il consiglio è di usare SELinux, che mitiga la maggior parte di questi problemi.
http://stopdisablingselinux.com/
LMCH20 Gennaio 2016, 12:35 #7
Originariamente inviato da: floc
mah, ci hanno gia' messo una pezza xke' la news e' di una settimana fa, e leggendo
http://perception-point.io/2016/01/...-cve-2016-0728/ che spiega il funzionamento non mi sembra cosi' catastrofica come cosa considerando la diffusione di smep e/o aslr, anche su android


Già, specialmente perche da Android 4.3 in su nella release AOSP si usa SELinux, mentre il primo kernel teoricamente vulnerabile sarebbe il Linux 3.10 usato da Android 4.4 AOSP.

Ovviamente le versioni compilate dai produttori dei dispositivi o "cucinate" ad hoc potrebbero avere o non avere SELinux o usare kernel vulnerabili.

Nel dubbio da 4.3 in su basta collegarsi con adb shell o usare una delle app che aprono un prompt dei comandi direttamente da Android, tipo ConnectBot (di Kenny Root, occhio a non scaricare qualcosa con lo stesso nome ma di dubbia origine) e digitare il comando getenforce per vedere se SELinux è attivo ed in che modalità.
yeppala20 Gennaio 2016, 13:11 #8
Originariamente inviato da: calabar
Ma se non ci sono exploit attivi che sfruttano la falla, ha senso parlare di zero-day?


Ecco l'exploit: https://gist.github.com/PerceptionP...86d1c0f8531ff8f
alexdal20 Gennaio 2016, 13:41 #9
@GTKM

per android specialmente ci sono milioni di virus, spesso ti costringono a buttare il telefono (ho avuto 5 minuti fa una collega con un Samsung che fa le telefonate da solo, che su internet apre solo siti di quelli strani)

Ma non vengono dati articoli: in passato qui ce n'era uno al giorno su Windows.

Ma su Android e su Google e su Samsung si deve stare attenti e come una mafia. Tanto i cellulari non sono pc. appena hai il virus su un Samsung lo butti e ne compri un altro, non fa notizia.

mentre su un Windows phone che ti garantisce 3 / 5 anni di aggiornamenti sicuri si deve scrivere mer.a
rokis20 Gennaio 2016, 14:54 #10
Originariamente inviato da: alexdal
@GTKM

per android specialmente ci sono milioni di virus, spesso ti costringono a buttare il telefono (ho avuto 5 minuti fa una collega con un Samsung che fa le telefonate da solo, che su internet apre solo siti di quelli strani)

Ma non vengono dati articoli: in passato qui ce n'era uno al giorno su Windows.

Ma su Android e su Google e su Samsung si deve stare attenti e come una mafia. Tanto i cellulari non sono pc. appena hai il virus su un Samsung lo butti e ne compri un altro, non fa notizia.

mentre su un Windows phone che ti garantisce 3 / 5 anni di aggiornamenti sicuri si deve scrivere mer.a


*

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^