Mercoledì 17 Febbraio 2016
Glibc, nuova vulnerabilità ad alto impatto (CVE-2015-7547)

Il team Yarix segnala una vulnerabilità critica, legata all’utilizzo della libreria Glibc per l’accesso ai sistemi Unix-like. A rischio i dispositivi di tipo Enterprise e IoT.

Il team Yarix segnala una vulnerabilità ad alto impatto, legata all'utilizzo della libreria Glibc per l'accesso ai servizi della rete su utenze Unix-like.

Una vulnerabilità ad alto impatto è stata scoperta nel GNU C Library (glibc), una componente chiave nella maggior parte delle distribuzioni Linux, che lascia quasi tutte le macchine Linux, migliaia di applicazioni e dispositivi elettronici vulnerabili agli hacker, che possono prendere il pieno controllo su di loro.

La vulnerabilità è simile a quella dello scorso anno, GHOST (CVE-2015-0235), che ha lasciato innumerevoli macchine vulnerabili e rappresenta una grave minaccia per Internet.

I ricercatori di Google, in collaborazione con i tecnici di Red Hat, hanno scoperto che la funzione getaddrinfo(), utilizzata per effettuare risoluzioni di nomi, possiede un bug che la rende attaccabile mediante buffer overflow, facendola eseguire codice arbitrario.

Sfruttando questa vulnerabilità dunque gli attaccanti possono eseguire da remoto qualsiasi tipo di codice.

Il rischio diventa elevato quando i sistemi che si appoggiano a glibc per tradurre i domini Internet in indirizzi IP eseguono delle ricerche verso i server in mano agli attaccanti, i quali rispondono con pacchetti DNS di dimensione superiore al normale che contengono il codice da eseguire.

Il team Yarix segnala una vulnerabilità ad alto impatto, legata all'utilizzo della libreria Glibc per l'accesso ai servizi della rete su utenze Unix-like.

Il flusso, sulla base di quanto hanno scoperto i ricercatori di Google, può essere schematizzato nel seguente modo:

Per i sistemi operativi Linux la vulnerabilità è già stata mitigata ed è stata rilasciata una patchche deve essere estesa a tutti i dispositivi interessati nel più breve tempo possibile.

La vulnerabilità era nota agli sviluppatori fin dallo scorso Giugno e sul mercato ormai da 7 anni, ma ne è uscita una full disclosure solamente negli ultimi giorni.
Di conseguenza utility comuni nel mondo Unix come secure shell (ssh), sudo, wget sono risultate affette da tale vulnerabilità.

La vulnerabilità dunque permette accesso esclusivo al sistema ospite attraverso una backdoor creata facendo breccia nel sistema, in comuni router o in qualsiasi altra interfaccia hardware connessa ad un sistema. Una notevole porzione di servizi internet è suscettibile all’attacco, che potrebbe rivelarsi sotto forma di crash o, nello scenario peggiore, con l’accesso in remoto alle risorse del dispositivo target.

Il rischio maggiore riguarda tutti i sistemi embedded e gli applicativi che utilizzano nativamente la funzione affetta dalla vulnerabilità, tra i quali anche molti software per la generazione dei Bitcoin. Da una prima analisi sembra che il mondo mobile con Android sia escluso da tale rischio, come molti dei dispositivi di fascia home per la navigazione in Internet. Più alto invece il rischio per i dispositivi di tipo Enterprise e per l'Internet of Things.

Una delle strategie possibili per mitigare il rischio è quello di istruire i dispositivi di difesa perimetrali, come ad esempio i firewall, per bloccare tutti i pacchetti DNS superiori alle dimensioni standard di 512 bytes per il protocollo UDP e 1024 bytes per il protocollo TCP. Nel caso non sia possibile installare in tempi brevi la patch rilasciata dagli sviluppatori, è consigliabile fare uso di un resolver DNS locale che scarti le richieste non standard e rispetti le linee guida in termini di configurazione date da Red Hat.

Vedi anche: