Il difetto Linux di "Looney Tunables" vede l'espansione degli exploit Proof-of-Concept

Exploit Proof-of-Concept (PoC) per falla di sicurezza CVE-2023-4911, soprannominata Looney Tunables, sono già stati sviluppati, in seguito alla divulgazione, avvenuta la scorsa settimana, della vulnerabilità critica di buffer overflow riscontrata nella diffusa libreria GNU C (glibc) presente in varie distribuzioni Linux.

Il ricercatore indipendente sulla sicurezza Peter Geissler; Will Dormann, analista di vulnerabilità del software presso il Carnegie Mellon Software Engineering Institute; e uno studente olandese di sicurezza informatica presso l'Università di Tecnologia di Eindhoven tra quelli che postano Exploit PoC su GitHub e altrove, indicando che presto potrebbero seguire attacchi diffusi in natura.

La falla, rivelata dai ricercatori di Qualys, pone un rischio significativo di accesso non autorizzato ai dati, alterazioni del sistema e potenziale furto di dati per i sistemi che eseguono Fedora, Ubuntu, Debian e molte altre importanti distribuzioni Linux, garantendo potenzialmente agli aggressori privilegi di root su innumerevoli sistemi Linux.

L'articolo di Qualys rileva che oltre a sfruttare con successo la vulnerabilità e ottenere privilegi root completi sulle installazioni predefinite di Fedora 37 e 38, Ubuntu 22.04 e 23.04, Debian 12 e 13, anche altre distribuzioni erano probabilmente vulnerabili e sfruttabili.

"Questa minaccia tangibile alla sicurezza del sistema e dei dati, unita alla possibile incorporazione della vulnerabilità in strumenti o software dannosi automatizzati come kit di exploit e bot, aumenta il rischio di sfruttamento diffuso e interruzioni del servizio", Saeed Abbasi, product manager di Qualys Threat Research Unit, annunciato la scorsa settimana quando è stata rivelata la falla.

Una minaccia dalle molteplici sfaccettature

I root takeover di Linux possono essere altamente pericolosi perché forniscono agli aggressori il massimo livello di controllo su un sistema basato su Linux e l’accesso root facilita l’escalation dei privilegi attraverso la rete, che può compromettere sistemi aggiuntivi, ampliando così la portata dell’attacco.

Nel mese di luglio, ad esempio, sono state rilevate due vulnerabilità nell'implementazione Ubuntu di un popolare file system basato su container consentiti agli aggressori per eseguire codice con privilegi root sul 40% dei carichi di lavoro cloud Ubuntu Linux.

Se gli aggressori ottengono l’accesso root, hanno essenzialmente l’autorità illimitata per modificare, eliminare o esfiltrare dati sensibili, installare software dannoso o backdoor nel sistema, perpetuando attacchi in corso che rimangono non rilevati per periodi prolungati.

In generale, i root takeover portano spesso a violazioni dei dati, consentendo l'accesso non autorizzato a informazioni sensibili come dati dei clienti, proprietà intellettuale e registri finanziari, e gli aggressori possono interrompere le operazioni aziendali manomettendo file di sistema cruciali.

Questa interruzione delle operazioni critiche del sistema spesso provoca interruzioni del servizio o un rallentamento della produttività, con conseguenti perdite finanziarie e danni alla reputazione dell'organizzazione.

La minaccia di root takeover è continua e in espansione: ad esempio, recentemente è venuto alla luce un pacchetto npm di typosquatting che nascondeva un Trojan RAT di accesso remoto Discord a servizio completo. Il RATTO è a rootkit chiavi in ​​mano e strumento di hacking che abbassa la barriera all’ingresso per sferrare attacchi alla catena di fornitura del software open source.

Mantenere i sistemi sicuri

La crescita esponenziale della base di distribuzione Linux ne ha fatto un obiettivo più grande per gli autori delle minacce, in particolare negli ambienti cloud.

Le organizzazioni hanno diverse opzioni da adottare per proteggersi in modo proattivo dai root takeover di Linux, ad esempio applicando patch e aggiornamenti regolari al sistema operativo e al software Linux e applicando il principio del privilegio minimo per limitare l'accesso.

Altre opzioni includono l’implementazione di sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS) e il rafforzamento dei controlli di accesso rafforzati dall’autenticazione a più fattori (MFA), nonché il monitoraggio dei registri di sistema e del traffico di rete e la conduzione di audit di sicurezza e valutazioni delle vulnerabilità.

All'inizio di questo mese, Amazon ha annunciato che avrebbe aggiunto nuovi requisiti dell'AMF per gli utenti con i privilegi più elevati, con l'intenzione di includere altri livelli di utente nel tempo.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/looney-tunables-linux-flaw-sees-snowballing-proof-of-concept-exploits