Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La vulnerabilità CVE-2026-27654 in nginx, individuata inizialmente da una rete neurale, consente di aggirare l’isolamento WebDAV e accedere ai file del server. Sebbene il bug causasse inizialmente solo crash, l’analisi manuale ha permesso di trasformarlo in un attacco reale. Il caso dimostra come il tempo tra patch ed exploit sia ormai nullo, aumentando drasticamente il rischio per i sistemi non aggiornati.
È stata scoperta di recente, una vulnerabilità in un popolare server web. Inizialmente rilevata da una rete neurale, è stata poi sfruttata dagli esseri umani. La storia ci insegna un principio fondamentale: i sistemi automatici sono già in grado di rilevare errori e persino di provocare arresti anomali, ma trasformare un arresto anomalo in un attacco efficace richiede comunque un intervento manuale.
La vulnerabilità CVE-2026-27654 (punteggio CVSS: 8.8) è stata riscontrata nel server web nginx e interessa esclusivamente i sistemi con il modulo WebDAV abilitato e una specifica configurazione che utilizza la direttiva alias e i comandi COPY o MOVE. Tali sistemi sono rari, ma il rischio per essi è elevato.
La rete neurale Claude di Anthropic è stata la prima a identificare il bug. Si trattava di un buffer overflow della memoria durante l’elaborazione di una richiesta COPY. L’errore si verifica a causa di un calcolo errato della lunghezza del percorso quando l’intestazione Destination è più corta del prefisso della directory. Ciò provoca il crash del server. Già in questa fase, la vulnerabilità sembrava confermata.
Tuttavia, un crash del server non costituisce un attacco. Per ottenere qualcosa di più serio, abbiamo dovuto esaminare il problema manualmente. L’analisi ha rivelato che il bug consente di superare la directory WebDAV, progettata per isolare i file. In caso di successo, l’attaccante ottiene l’accesso a tutti i file accessibili al processo del server, inclusi i permessi di lettura e scrittura.
Poi è iniziato il lavoro pratico. Per prima cosa, hanno provato a scrivere un file arbitrario. Il risultato è stata una soluzione funzionante, ma con condizioni estremamente irrealistiche: il server doveva accettare percorsi molto lunghi e la struttura delle directory doveva essere artificialmente profonda. Uno scenario del genere è raro nelle infrastrutture reali.
Poi hanno cambiato approccio. Invece di scrivere file, hanno provato a leggere quelli esistenti. L’idea si è rivelata più semplice: controllando sia la sorgente che la destinazione dell’operazione COPY, potevano copiare, ad esempio, un file di sistema in una directory accessibile. In un caso, la rete neurale ha dichiarato l’impossibilità di farlo, ma in un altro ha immediatamente prodotto un esempio funzionante. Dopo i test, è emerso che l’attacco funzionava nella maggior parte dei casi, sebbene a volte provocasse ancora il blocco del server.
Hanno quindi trovato un modo per semplificare ulteriormente lo sfruttamento della vulnerabilità. In precedenza si pensava che per un attacco fossero necessari percorsi molto lunghi. Ma si è scoperto che, con una determinata configurazione, nginx smette di combinare le doppie barre nei percorsi. Il sistema operativo, tuttavia, continua a trattarle come percorsi normali. Di conseguenza, è possibile creare un percorso molto lungo per il server che risulterebbe breve sul file system. Questa opzione elimina la necessità di complesse strutture di directory e rende l’attacco molto più pratico.
Durante il processo, è emersa una netta distinzione tra i ruoli degli esseri umani e della rete neurale. Claude ha subito proposto lo scenario di attacco più efficace – la registrazione di file – senza però considerare la realisticità delle condizioni. Gli esseri umani, al contrario, hanno semplificato il compito, eliminato i dettagli superflui e individuato uno scenario più fattibile. La rete neurale ha testato rapidamente le idee e fornito un supporto dettagliato, ma la decisione sulla direzione da intraprendere è stata lasciata all’essere umano.
La correzione è stata inclusa nella versione 1.29.7 e le informazioni relative al problema sono state pubblicate nel marzo 2026. Sorprendentemente, non appena la correzione è stata resa pubblica, il sistema automatico di analisi delle modifiche ha immediatamente rilevato la patch e ha compilato un esempio che causava l’arresto anomalo. Questo è accaduto lo stesso giorno.
Il lasso di tempo tra il rilascio di una patch e la comparsa di un attacco già pronto si è ridotto a zero. Un tempo gli amministratori avevano il tempo di aggiornare i sistemi, ma ora anche questo lasso di tempo sta scomparendo. E se le reti neurali velocizzano l’individuazione delle vulnerabilità per gli sviluppatori, ne velocizzano anche lo sfruttamento per tutti gli altri.
