Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Dopo Dirty Frag e Copy Fail, nel Dark Web compare un presunto exploit Zero-Day LPE per Linux compatibile con kernel moderni e distro enterprise. Venduto a 170mila dollari, potrebbe consentire escalation a root tramite vulnerabilità TOCTOU.
Dopo la diffusione degli ultimi critici exploit LPE su Linux quali Dirty Frag e Copy Fail, le underground criminali rispondono con una Local Privilege Escalation messa in vendita nel Dark Web.
Da un noto forum del dark web emerge una nuova minaccia che potrebbe scuotere l’ecosistema Linux. Anche il solido linux sembra finire nel mirino. Un threat actor ha messo in vendita quello che sostiene essere un exploit Zero-Day per la Local Privilege Escalation (LPE). Nel suo post afferma che l’expoit ha una compatibilità quasi universale con le distribuzioni più moderne.
Il prezzo fissato non è banale, ben 170.000 dollari, questo fa capire l’alto valore dell’exploit, uno strumento che potrebbe far molti danni.
Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Secondo quanto pubblicato nell’annuncio, l’exploit non sfrutterebbe alcuna vulnerabilità già nota (nessun CVE associato) e sarebbe in grado di colpire target enterprise e rolling release basati su kernel molto recenti (versioni 6.8, 6.11, 6.12 e perfino i futuri 6.14/6.15).
Come possiamo vedere dallo screenshoot il threat actor in realtà fornisce molti dettagli:
L’aspetto che più spaventa, è la capacità dichiarata di colpire versioni del kernel non ancora stabili, segno che l’exploit sfrutta una vulnerabilità strutturale non ancora identificata dai manutentori.
Dal post viene anche specificata la vulnerabilità, ossia TOCTOU (Time-of-Check Time-of-Use).
Si tratta di una tipica race condition che avviene quando un programma controlla una condizione (ad esempio i permessi di un file) e, nell’intervallo di tempo prima che la risorsa venga effettivamente utilizzata, un utente malintenzionato riesce a modificarla.
Dichiara anche che l’exploit sarebbe estremamente stabile (nessun crash di sistema o “kernel panic”), di utilizzare una libreria condivisa (file .so) che viene rilasciata nella directory /tmp per eseguire l’escalation dei privilegi. E infine, non per minore importanza, la possibilità di permettere ad un utente con permessi limitati di ottenere privilegi di root in modo silenzioso.
Il prezzo di 170mila dollari fa capire che la vendita di questo exploit è in una fascia di mercato “premium”, ossia non acquistabile da tutti, ma magari riservata solitamente a gruppi ransomware. Sebbene non sia ancora presente una Proof-of-Concept (PoC) verificata, la specificità delle versioni dei kernel citate e la natura della vulnerabilità (TOCTOU) suggeriscono il venditore abbia una conoscenza approfondita del sistema di gestione dei file o dei namespace di Linux.
Spulciando nel forum si può vedere che non è la prima pubblicazione di 0day, anzi sembra essere specializzato.
Dunque, fino a questo punto sembrerebbe tutto vero, l’exploit potrebbe essere realmente disastroso. Ma, nel mondo del Dark Web la cautela è d’obbligo. E l’assenza di un intermediario (escrow) affidabile o una dimostrazione tecnica, l’annuncio potrebbe anche essere un tentativo di SPAM.
In attesa di ulteriori riscontri o dell’assegnazione di un CVE, le organizzazioni dovrebbero alzare il livello di monitoraggio sui propri asset Linux. In che modo? Hardening di /tmp: Monitorare o limitare l’esecuzione di file binari e librerie (.so) da directory scrivibili come /tmp e /var/tmp.
Behavioral Analysis: Implementare strumenti di EDR/XDR per rilevare comportamenti anomali nelle chiamate di sistema che indicano tentativi di escalation di privilegi. Kernel Hardening: Valutare l’attivazione di protezioni contro le race condition a livello di filesystem.
RHC continuerà a monitorare i forum underground per intercettare eventuali leak del codice o aggiornamenti dai vendor. Invitiamo chiunque sia a conoscenza di dettagli rilevanti a contattarci attraverso la mail crittografata del whistleblower, garantendo la possibilità di rimanere anonimi.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]