Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Sandro Sana : 25 Settembre 2024 12:43
Di recente, il canale Telegram di SecActor ha rivelato una notizia di notevole importanza per la sicurezza informatica: una vulnerabilità critica di esecuzione di codice da remoto (RCE) che affligge il sistema operativo FreeBSD. Questa vulnerabilità, CVE-2024-41721, scoperta dal team di sicurezza di Synacktiv, riguarda il suo hypervisor bhyve e rappresenta una seria minaccia per la sicurezza delle macchine virtuali che operano su questo sistema.
La vulnerabilità ha origine nell’emulazione del controller XHCI (eXtensible Host Controller Interface) del componente bhyve, il cui scopo è emulare l’hardware USB all’interno delle macchine virtuali. Il problema risiede nella mancata verifica dei limiti di memoria, che permette al codice di leggere al di fuori dell’area designata, causando potenzialmente un crash del processo hypervisor o, peggio, l’esecuzione di codice arbitrario sulla macchina host.
Questa vulnerabilità è particolarmente pericolosa perché consente a un eventuale malware, eseguito su una macchina virtuale ospite, di acquisire il controllo dell’intero sistema fisico. In questo contesto, il fatto che il processo bhyve sia eseguito con privilegi elevati (root) non fa che amplificare le conseguenze di un attacco riuscito.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Nonostante bhyve utilizzi una tecnologia di sandboxing (Capsicum) per ridurre le capacità dei processi e isolarli, il rischio di sfruttamento rimane presente, soprattutto nelle configurazioni che emulano dispositivi USB.
Tutti i sistemi FreeBSD che utilizzano l’emulazione XHCI sono vulnerabili e, al momento della pubblicazione del bollettino, non esiste un workaround alternativo. L’unica soluzione per mitigare il rischio consiste nell’applicazione delle patch rilasciate il 19 settembre 2024, che correggono questa vulnerabilità.
L’importanza di aggiornare tempestivamente i sistemi e riavviare le macchine virtuali è cruciale per garantire che le correzioni abbiano effetto e per evitare che le vulnerabilità persistano nelle istanze in esecuzione.
La vulnerabilità CVE-2024-41721 colpisce uno dei componenti chiave di FreeBSD, l’hypervisor bhyve, il quale è ampiamente utilizzato per la virtualizzazione delle macchine. La criticità risiede nel codice USB, specificamente nell’emulazione XHCI, dove una mancanza di verifica dei limiti di memoria può permettere a un utente malintenzionato di leggere o scrivere fuori dai confini della memoria allocata, ottenendo il controllo del sistema host.
Gli hypervisor, come bhyve, sono utilizzati per creare e gestire macchine virtuali (VM), e svolgono un ruolo cruciale nell’infrastruttura IT moderna, soprattutto in ambienti cloud e data center. La virtualizzazione permette a più sistemi operativi di girare simultaneamente su una singola macchina fisica, aumentando l’efficienza dell’uso delle risorse. Tuttavia, proprio a causa di questo modello condiviso, una vulnerabilità in un hypervisor può esporre l’intero sistema a rischi.
La vulnerabilità in questione è particolarmente insidiosa perché può essere sfruttata da un software dannoso eseguito in una macchina virtuale ospite, permettendo così l’esecuzione di codice arbitrario sull’host. Questo tipo di vulnerabilità rappresenta una minaccia per la separazione tra VM e host, uno dei principali vantaggi della virtualizzazione. In effetti, un attacco di questo genere compromette il modello di sicurezza dell’hypervisor.
Secondo il bollettino di sicurezza di FreeBSD, la vulnerabilità deriva da una cattiva gestione della memoria nell’emulazione del controller XHCI. Il controller XHCI è una parte del sistema utilizzata per gestire i dispositivi USB 3.0 e superiori, permettendo alle VM di interagire con dispositivi USB virtuali. La mancata verifica delle dimensioni dei dati che passano attraverso l’emulazione USB può portare a un’alterazione dei dati in memoria, consentendo a un attaccante di leggere o scrivere al di fuori delle aree di memoria consentite, violando l’integrità del sistema.
Questa vulnerabilità è particolarmente critica perché bhyve opera con privilegi di root, aumentando il potenziale impatto di un exploit riuscito. Un attaccante che sfrutta questa vulnerabilità potrebbe provocare il crash dell’hypervisor o, peggio, eseguire codice malevolo con i privilegi più elevati disponibili. La possibilità di controllo remoto dell’host da parte di un attaccante su una VM vulnerabile rende questa vulnerabilità una delle minacce più gravi per gli ambienti FreeBSD.
Il fatto che bhyve operi in una sandbox tramite la tecnologia Capsicum mitiga solo parzialmente il rischio. Capsicum è un framework di sicurezza che limita i privilegi dei processi, ma non è sufficiente a eliminare del tutto la possibilità di attacchi sfruttando questa vulnerabilità. Inoltre, la vulnerabilità riguarda tutte le versioni supportate di FreeBSD che utilizzano bhyve con l’emulazione XHCI, rendendo necessario un aggiornamento immediato.
L’unica soluzione per gli amministratori di sistema è aggiornare le loro installazioni di FreeBSD alla versione che include la patch rilasciata il 19 settembre 2024. Questo aggiornamento corregge la vulnerabilità risolvendo il problema della gestione errata della memoria. Inoltre, è fondamentale riavviare tutte le macchine virtuali che utilizzano dispositivi USB emulati per garantire che la correzione venga applicata correttamente.
In ambienti di produzione, dove l’uptime è critico, questo tipo di vulnerabilità rappresenta una seria minaccia. Un exploit di successo potrebbe causare danni significativi, incluse interruzioni del servizio, perdita di dati e accesso non autorizzato a informazioni sensibili. Il processo di patching richiede dunque un’attenta pianificazione per minimizzare l’impatto sulle operazioni quotidiane, ma è una misura imprescindibile per garantire la sicurezza dei sistemi.
Questa vulnerabilità solleva diverse riflessioni. In primo luogo, evidenzia ancora una volta come le tecnologie di virtualizzazione, sempre più diffuse, siano divenute un bersaglio appetibile per i cybercriminali. Colpire un hypervisor significa potenzialmente avere accesso a più macchine virtuali e, di conseguenza, a una vasta gamma di dati e servizi.
In secondo luogo, la scoperta del bug di sicurezza da parte di Synacktiv, un’azienda francese nota per la sua esperienza nel campo delle vulnerabilità critiche, sottolinea l’importanza di una costante attività di auditing e testing sui software utilizzati, anche su sistemi apparentemente sicuri come FreeBSD.
Infine, questo caso specifico ci ricorda quanto sia pericoloso sottovalutare le vulnerabilità legate a componenti “periferici” come l’emulazione USB. Anche se a prima vista possono sembrare secondarie rispetto a falle più note e critiche, possono comunque essere sfruttate per ottenere un accesso non autorizzato ai sistemi principali.
La vulnerabilità RCE scoperta in FreeBSD è un chiaro segnale di allarme per amministratori di sistema e responsabili della sicurezza. In un panorama in cui le minacce continuano a evolversi e ad adattarsi, mantenere sistemi costantemente aggiornati e monitorati è fondamentale per prevenire attacchi potenzialmente devastanti. L’adozione di misure preventive, come la tempestiva applicazione delle patch e un attento controllo delle configurazioni di sistema, rimane l’unico modo efficace per mitigare il rischio di violazioni della sicurezza.
Inoltre, casi come questo ci ricordano l’importanza di una collaborazione costante tra aziende di sicurezza, sviluppatori di software e utenti, affinché le vulnerabilità siano identificate e risolte il più rapidamente possibile.
Sandro Sana1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
