Falla zero-day su Linux: a rischio milioni di PC, server e device Android

Per quasi tre anni milioni di server e dispositivi in genere basati su kernel Linux sono stati vulnerabili ad attacchi che avrebbero permesso ad un'app priva di privilegi o a un utente terzo di ottenere un controllo quasi del tutto completo della macchina. Si attende un fix entro la fine della settimana, tuttavia la difficoltà nel rilascio di aggiornamenti tipica di Android, basato anch'esso su Linux, potrebbe lasciare telefoni e dispositivi embedded esposti alla vulnerabilità per lunghi periodi.

La falla zero-day può essere sfruttata in una vasta scelta di configurazioni: PC e server Linux, smartphone Android.

La falla è stata introdotta sulla versione 3.8 di Linux rilasciata nei primi mesi del 2013. Risiede nel portachiavi del sistema operativo, la funzionalità necessaria per memorizzare le chiavi di crittografia, i token per l'autenticazione ed altri dati sensibili in maniera del tutto sicura e in modo tale che le altre applicazioni installate sul sistema non possano accedere al suo contenuto. Ad aver rivelato l'esistenza della vulnerabilità è stata la firma Perception Point, che ha già diffuso le specifiche dell'exploit alla community di sviluppatori Linux.

Un bug di questo tipo sul kernel Linux è di notevole entità visto che può essere sfruttato in una vasta scelta di configurazioni. Sui server chi ha accesso locale può sfruttarlo per ottenere i permessi di root sul sistema. Su smartphone con KitKat e successivi può consentire ad un'app malevola di irrompere nella sandbox di sicurezza e ricevere la possibilità di controllare le funzioni più remote e sensibili del sistema operativo. La falla può essere sfruttata anche su piccoli dispositivi basati su versioni embedded di Linux.

Nonostante ci siano accorgimenti per impedire o rendere più difficile l'esecuzione dell'exploit sfruttando la nuova falla zero-day, come ad esempio la prevenzione dell'accesso alla supervisor mode su server o le modalità di sicurezza più moderne su Android, si tratta di protezioni che possono comunque essere aggirate stando ai ricercatori della società di sicurezza.

"Al momento in cui scriviamo questa vulnerabilità coinvolge approssimativamente decine di milioni di PC Linux e server e il 66% di tutti i dispositivi Android, siano essi smartphone o tablet", hanno dichiarato i ricercatori di Perception Point sul blog ufficiale. "Anche se nessuno del nostro team ha osservato exploit effettivamente attivi che sfruttano questa vulnerabilità, è consigliabile che gli esperti della sicurezza esaminino i dispositivi potenzialmente coinvolti, rilasciando patch di sicurezza il più presto possibile".

In passato i canali di distribuzione dei malware focalizzavano le loro attenzioni soprattutto su Windows, in assoluto il più diffuso in molte categorie consumer ed enterprise. Nel corso del tempo si è prestata sempre più attenzione alle piattaforme concorrenti, con molteplici malware rilasciati anche su Linux e su Android rivolti soprattutto al furto di dati sensibili. Una vulnerabilità come quella rivelata da Perception Point lascia scoperta la possibilità di sviluppare malware potenzialmente molto nocivi, soprattutto se non viene rilasciato un fix in tempo dai vari produttori e distributori di hardware.

Il bug viene indicizzato come CVE-2016-0728 e molte distribuzioni Linux dovrebbero rilasciare le patch di sicurezza entro il prossimo giovedì.