BLOG

24 Settembre 2024

Vulnerabilità gravissima su Linux per ora sconosciuta scoperta da EvilSocket

Una vulnerabilità critica colpisce tutti i sistemi GNU/Linux e, potenzialmente, altre piattaforme. Con un punteggio di gravità 9.9/10 secondo il sistema CVSS, si tratta di una minaccia che potrebbe consentire attacchi remoti senza autenticazione.

Nel panorama della sicurezza informatica, una nuova vulnerabilità critica sta facendo tremare il mondo GNU/Linux. Scoperta e segnalata da Simone Margaritelli, noto ricercatore di sicurezza informatica e creatore di numerosi strumenti utilizzati nella cyber security, questa vulnerabilità sta creando un’onda di preoccupazione tra le principali distribuzioni Linux come Ubuntu (Canonical) e Red Hat, che hanno già confermato la gravità del problema. Con un punteggio di 9.9/10 nella scala di gravità CVSS, si tratta di un potenziale incubo di sicurezza per milioni di sistemi in tutto il mondo.

Simone Margaritelli, conosciuto anche come evilsocket nei suoi profili professionali, è uno dei nomi più riconosciuti nella community della sicurezza informatica. Le sue scoperte e gli strumenti da lui sviluppati hanno avuto un profondo impatto sul mondo della cyber security, e la sua dedizione alla divulgazione di vulnerabilità critiche come quella di cui parliamo qui non è una novità. Nonostante l’intenzione di procedere con una divulgazione responsabile della falla, le resistenze incontrate da Margaritelli durante il processo hanno portato a una decisione drastica: annunciare una divulgazione completa entro le prossime settimane, anche senza un patch disponibile.

Punti chiave della vulnerabilità

Tre settimane fa, Margaritelli ha scoperto una vulnerabilità RCE (Remote Code Execution) non autenticata che affligge tutti i sistemi GNU/Linux e, probabilmente, altre piattaforme. Una vulnerabilità RCE permette a un attaccante remoto di eseguire codice arbitrario su un sistema vulnerabile senza la necessità di autenticazione. Questa particolare vulnerabilità risulta estremamente pericolosa, e il fatto che ancora non sia stata rilasciata una correzione funzionante aggrava ulteriormente la situazione.

Secondo il post condiviso dallo stesso Margaritelli su Twitter, Canonical e Red Hat hanno confermato la criticità della vulnerabilità, che ha ricevuto un punteggio di 9.9 su 10 nella scala CVSS. Ciò significa che questa falla ha un impatto devastante sulla sicurezza e potrebbe portare a un uso massiccio da parte di cyber criminali se non viene affrontata tempestivamente. Al momento, tuttavia, non è stato assegnato alcun CVE (Common Vulnerabilities and Exposures), nonostante Margaritelli segnali che dovrebbero esserci almeno 3 o 4 CVE per i diversi aspetti di questa vulnerabilità.

La mancanza di una correzione funzionante o di un patch ha suscitato dibattiti all’interno della community degli sviluppatori, molti dei quali sembrano minimizzare l’impatto di alcune delle falle riscontrate. Questo atteggiamento ha portato Margaritelli a esprimere la sua frustrazione su Twitter, dichiarando che la sua esperienza nelle ultime settimane è stata segnata da resistenze da parte degli sviluppatori, che sembrano non voler accettare che il codice alla base di queste vulnerabilità sia effettivamente difettoso.

Margaritelli ha affermato che, nonostante abbia cercato di seguire il protocollo di divulgazione responsabile, collaborando con i team di sviluppo per identificare e risolvere i problemi in modo da proteggere gli utenti, il processo è stato ostacolato da atteggiamenti poco collaborativi. A causa di questo, ha deciso di interrompere la prassi della divulgazione responsabile e di procedere con una divulgazione completa della vulnerabilità entro le prossime settimane.

La vulnerabilità CVSS 9.9

La vulnerabilità in questione è stata classificata con un punteggio CVSS v3.1 di 9.9/10, un’indicazione chiara dell’estrema pericolosità del problema. Analizzando più in dettaglio i fattori che hanno contribuito a questo punteggio:

  • Attack Vector (AV): Network (N) — La vulnerabilità può essere sfruttata da remoto attraverso la rete, senza bisogno di accesso fisico alla macchina bersaglio.
  • Attack Complexity (AC): Low (L) — Lo sfruttamento della vulnerabilità richiede pochi o nessun prerequisito particolare, il che significa che l’attacco può essere eseguito con facilità da chiunque disponga delle conoscenze di base.
  • Privileges Required (PR): None (N) — Un attaccante non ha bisogno di ottenere privilegi di amministratore o di utente per sfruttare la falla, rendendo la vulnerabilità ancora più accessibile e pericolosa.
  • User Interaction (UI): None (N) — L’attacco non richiede alcuna interazione da parte dell’utente, il che aumenta il rischio di sfruttamento a sorpresa.
  • Confidentiality (C): Low (L) — La violazione della riservatezza è considerata meno impattante rispetto ad altre metriche, ma rimane significativa.
  • Integrity (I): High (H) — La vulnerabilità permette di compromettere l’integrità del sistema, consentendo modifiche non autorizzate.
  • Availability (A): Low (L) — La vulnerabilità ha un impatto moderato sulla disponibilità del sistema, ma in determinate condizioni potrebbe portare a interruzioni o malfunzionamenti.

Questi fattori combinati rendono la vulnerabilità una delle più gravi emerse negli ultimi tempi nel mondo GNU/Linux, e l’assenza di un fix disponibile è motivo di grande preoccupazione per chiunque utilizzi sistemi Linux su larga scala, specialmente nei contesti aziendali e nei data center.

Attualmente non è indicato in alcun modo quale possa essere il servizio oggetto da tale vulnerabilità, ma viene lecito ipotizzare possa riguardare un servizio noto esposto come OpenSSH, o eventualmente servizi di filtering come Net Filter. Ovviamente sono pure ipotesi.

La frustrazione di Simone Margaritelli

Nel suo post su Twitter, Margaritelli ha espresso chiaramente la sua frustrazione per come è stata gestita la questione da parte di alcuni sviluppatori. Nonostante abbia dedicato tre settimane intere del suo tempo libero a questa ricerca e alla coordinazione per risolvere il problema, la mancanza di supporto e la minimizzazione del rischio da parte di alcuni sviluppatori lo ha spinto a intraprendere una strada diversa.

Simone Margaritelli EvilSocket Linux Vulnerability

Simone ha dichiarato di essere stato  ignorato, e che molti sviluppatori sembrano riluttanti ad ammettere che il loro codice potrebbe essere difettoso. Questo ha alimentato la sua decisione di abbandonare l’idea di divulgazione responsabile e di procedere con una divulgazione completa della vulnerabilità, rendendo pubblici i dettagli tecnici entro le prossime settimane.

Questa decisione è estremamente significativa, poiché potrebbe accelerare la corsa verso l’implementazione di un fix, ma al tempo stesso esporrà milioni di sistemi Linux al rischio di attacchi da parte di malintenzionati, qualora non venissero prese contromisure rapide.

Simone Margaritelli: chi è e perché è importante

Simone Margaritelli, conosciuto come evilsocket, è un nome di spicco nella comunità della sicurezza informatica. Nel corso della sua carriera, ha sviluppato numerosi strumenti utilizzati sia dai professionisti della sicurezza informatica che dai ricercatori in tutto il mondo.

Uno dei suoi contributi più noti è lo sviluppo di Bettercap, uno strumento open-source progettato per condurre attacchi di tipo Man-in-the-Middle (MITM) e test di penetrazione su reti. Bettercap è uno degli strumenti più versatili disponibili per la sicurezza di rete ed è utilizzato da migliaia di professionisti per identificare vulnerabilità, intercettare il traffico di rete e condurre test di sicurezza approfonditi su sistemi aziendali e reti locali.

Bettercap è apprezzato per la sua modularità e flessibilità. Consente agli utenti di monitorare e manipolare il traffico in tempo reale, analizzare i pacchetti di rete e persino eseguire attacchi complessi come il DNS spoofing, l’iniezione di contenuti nelle pagine web e molti altri tipi di attacchi utilizzati per verificare la robustezza delle difese di una rete.

Potete trovare maggiori dettagli su Bettercap e scaricare lo strumento visitando il sito ufficiale: Bettercap Project.

Margaritelli è anche noto per lo sviluppo di numerosi altri tool di sicurezza, molti dei quali sono raccolti nel suo blog personale e profilo GitHub, che potete visitare qui:

Bettercap: uno strumento indispensabile per i test di penetrazione

Bettercap è uno strumento progettato per fornire una suite completa di strumenti per la sicurezza delle reti, che include la possibilità di eseguire attacchi MITM, manipolazione del traffico e monitoraggio delle reti in tempo reale. Creato inizialmente come un’alternativa moderna a strumenti come Ettercap, Bettercap è cresciuto rapidamente per diventare uno degli strumenti di sicurezza di rete più potenti disponibili oggi.

Le caratteristiche principali di Bettercap includono:

  • Modularità: Bettercap supporta numerosi moduli che permettono agli utenti di eseguire diversi tipi di attacchi e analisi, come il monitoraggio del traffico HTTP, l’iniezione di contenuti, e il sniffing di credenziali.
  • Supporto multi-piattaforma: Bettercap può essere eseguito su diversi sistemi operativi, inclusi GNU/Linux, Windows e macOS, rendendolo estremamente versatile.
  • Estendibilità: Gli utenti possono scrivere i propri moduli e script per estendere le funzionalità di Bettercap, adattandolo alle loro esigenze specifiche.

Uno dei motivi per cui Bettercap è così popolare è la sua interfaccia semplice ma potente, che consente anche a chi ha competenze di base nella sicurezza di rete di eseguire test complessi con relativa facilità. Grazie alla sua versatilità, Bettercap è utilizzato non solo nei test di sicurezza, ma anche per la formazione dei professionisti della sicurezza e per scopi didattici nelle università.

Conclusioni

La vulnerabilità scoperta da Simone Margaritelli rappresenta una delle più gravi minacce alla sicurezza del panorama GNU/Linux degli ultimi tempi. Con un punteggio CVSS di 9.9 su 10, la vulnerabilità ha un impatto devastante sulla sicurezza dei sistemi, consentendo a un attaccante remoto di prendere il controllo di una macchina senza necessità di autenticazione o privilegi elevati.

Margaritelli, nonostante i suoi sforzi per coordinarsi con gli sviluppatori e risolvere il problema in modo responsabile, ha dovuto affrontare resistenze significative, portandolo alla decisione di procedere con una divulgazione completa entro le prossime settimane.

La sua frustrazione è comprensibile: il tempo è essenziale quando si tratta di vulnerabilità di questa portata, e ogni giorno che passa senza una correzione aumenta il rischio di attacchi su vasta scala. Gli utenti di sistemi GNU/Linux, specialmente in contesti aziendali o data center, dovrebbero prestare attenzione agli aggiornamenti di sicurezza e assicurarsi di adottare tutte le misure preventive possibili in attesa di una patch.

Se volete saperne di più sul lavoro di Simone Margaritelli o utilizzare i suoi strumenti per testare la sicurezza delle vostre reti, vi consiglio di visitare i seguenti link:

Rimanete aggiornati per ulteriori sviluppi su questa gravissima vulnerabilità, poiché la divulgazione completa potrebbe arrivare molto presto, con tutte le implicazioni di sicurezza del caso.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Hetzner Online GmbH detiene i diritti su Hetzner®; OVHcloud è un marchio registrato di OVH Groupe SAS; cPanel®, L.L.C. detiene i diritti su cPanel®; Plesk® è un marchio registrato di Plesk International GmbH; Facebook, Inc. detiene i diritti su Facebook®. Questo sito non è affiliato, sponsorizzato o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello europeo da MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italia.

Torna in alto