Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 5 Novembre 2021 07:49
I ricercatori della sicurezza informatica hanno rivelato un difetto di sicurezza nel modulo TIPC (Transparent Inter Process Communication ) del kernel Linux che potrebbe essere potenzialmente sfruttato sia a livello locale che remoto per eseguire codice arbitrario all’interno del kernel e prendere il controllo di macchine vulnerabili.
TIPC è un protocollo a livello di trasporto progettato per i nodi in esecuzione in ambienti cluster dinamici per comunicare in modo affidabile tra loro in modo più efficiente e tollerante ai guasti rispetto ad altri protocolli come TCP.
La vulnerabilità identificata da SentinelOne è una convalida insufficiente delle dimensioni fornite dall’utente per un nuovo tipo di messaggio chiamato ” MSG_CRYPTO ” che è stato introdotto a settembre 2020 e consente ai nodi peer nel cluster di inviare chiavi crittografiche.
Tracciata come CVE-2021-43267 (punteggio CVSS: 9,8), la vulnerabilità dell’heap overflow
“può essere sfruttata localmente o da remoto all’interno di una rete per ottenere i privilegi del kernel e consentirebbe a un utente malintenzionato di compromettere l’intero sistema”
ha affermato la società di sicurezza informatica SentinelOne in un rapporto pubblicato ieri.
Sebbene il protocollo disponga di controlli per convalidare tali messaggi dopo la decrittazione per garantire che la dimensione effettiva del payload di un pacchetto non superi quella della dimensione massima del messaggio utente e che quest’ultima sia maggiore della dimensione dell’intestazione del messaggio, non sono state riscontrate restrizioni sulla lunghezza della chiave (nota anche come ‘keylen’) stessa, questo ha portato ad uno scenario in cui:
“un utente malintenzionato può creare un pacchetto con una piccola dimensione per allocare memoria heap e quindi utilizzare una dimensione arbitraria nell’attributo ‘keylen’ per scrivere al di fuori dei suoi limiti.”
Al momento non ci sono prove che il difetto sia stato sfruttato fino ad oggi in attacchi noti, in seguito alla divulgazione responsabile del 19 ottobre, il problema è stato risolto nella versione 5.15 del kernel Linux rilasciata il 31 ottobre 2021.
RedazioneLa saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
