Redazione RHC : 29 Marzo 2024 11:43
È stata scoperta una grave vulnerabilità nel sistema operativo Linux che consente agli aggressori senza privilegi di rubare password o modificare gli appunti delle vittime. Il problema riguarda il comando wall nel pacchetto util-linux, che fa parte di tutte le distribuzioni Linux da 11 anni. L’errore è stato corretto di recente, con il rilascio di util-linux 2.40.
La vulnerabilità ha ricevuto l’identificatore CVE-2024-28085 e il nome WallEscape. È interessante perché consente a un utente malintenzionato di indurre l’utente a fornire la sua password amministrativa.
Tuttavia, la vulnerabilità è limitata a specifiche condizioni di implementazione. Un utente malintenzionato ha quindi bisogno di accedere ad un server Linux sul quale più utenti lavorano contemporaneamente tramite un terminale, ad esempio in un ambiente universitario.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Il problema è stato scoperto dal ricercatore di sicurezza Skyler Ferrante, che ha descritto WallEscape come “neutralizzazione errata delle sequenze di controllo“.
Se osserviamo più da vicino il lato tecnico della vulnerabilità, va notato che consente agli aggressori di utilizzare caratteri di controllo per creare una falsa richiesta di password sudo nei terminali di altri utenti. Ciò è possibile perché questi caratteri non vengono filtrati correttamente durante l’elaborazione dell’input tramite gli argomenti della riga di comando.
Per utilizzare WallEscape, è necessario soddisfare determinate condizioni, tra cui l’utilità mesg attiva e il comando wall con autorizzazioni setgid. Queste condizioni esistono, ad esempio, in Ubuntu 22.04 LTS (Jammy Jellyfish) e Debian 12.5 (Bookworm), ma sono assenti nello stesso CentOS.
Ferrante ha fornito il codice PoC per dimostrare lo sfruttamento, descrivendo scenari che potrebbero portare a vari risultati, tra cui la creazione di una falsa richiesta sudo nel terminale Gnome e la modifica degli appunti della vittima tramite sequenze di escape. Tuttavia, il metodo di modifica degli appunti non funziona con tutti gli emulatori di terminale.
Il funzionamento di WallEscape richiede l’accesso locale (fisico o remoto tramite SSH), che ne riduce la criticità, ma lascia un rischio per i sistemi multiutente come i server aziendali.
Si consiglia agli utenti di aggiornare immediatamente a linux-utils v2.40 per risolvere la vulnerabilità. Come precauzione temporanea, gli amministratori possono rimuovere i permessi setgid dal comando wall o disabilitare la funzionalità di messaggistica del comando mesg impostando il relativo flag su “n”.
RedazioneDopo la chiusura della piattaforma di phishing Darcula e del software Magic Cat utilizzato dai truffatori, la soluzione Magic Mouse ha guadagnato popolarità tra i criminali. Secondo gli specialis...
Gli analisti di Binarly hanno trovato almeno 35 immagini su Docker Hub ancora infette da una backdoor che ha penetrato xz Utils l’anno scorso. I ricercatori hanno avvertito che questo potrebbe ...
Tre gravi vulnerabilità di Microsoft Office, che potrebbero permettere agli aggressori di eseguire codice remoto sui sistemi colpiti, sono state risolte da Microsoft con il rilascio di aggiorname...
Dalle macchine che apprendono a quelle che si auto migliorano: il salto evolutivo che sta riscrivendo il codice del futuro Mentre leggete questo articolo, molto probabilmente, in un data center del mo...
Trend Micro ha rilevato un attacco mirato ai settori governativo e aeronautico in Medio Oriente, utilizzando un nuovo ransomware chiamato Charon. Gli aggressori hanno utilizzato una complessa catena d...
