Roma - Una grave falla che colpisce il più diffuso Mail Transfer Agent (MTA) al mondo, Sendmail, ha fatto scattare l'allarme rosso in Internet. Il popolare mailserver open source gestisce, secondo alcune stime, fra il 50% e il 75% di tutto il traffico e-mail che passa attraverso la Rete, numeri che fanno ben comprendere l'urgenza con cui esperti di sicurezza e autorità governative stanno sollecitando le aziende ad aggiornare quanto prima i propri server.
La falla, scoperta alla fine di dicembre dalla società di sicurezza Internet Security Systems (ISS), potrebbe essere sfruttata da un aggressore per guadagnare i privilegi del demone di Sendmail, tipicamente quelli di utente "root". Il problema interessa tutte le versioni di Sendmail, incluse quelle commerciali (Pro), precedenti alla versione 8.12.8.
Il
Sendmail Consortium ha rilasciato una nuova versione di Sendmail e una serie di patch che pongono fine al problema. Nella giornata di ieri sono stati rilasciati fix di sicurezza anche da tutti i vendor che commercializzano prodotti contenenti Sendmail, fra cui i maggiori distributori di Linux, Apple, HP, IBM, Sun e Cisco.
ISS spiega nel proprio
advisory di sicurezza che il bug, un buffer overflow, è particolarmente grave per il fatto di poter essere sfruttato attraverso l'invio di un semplice messaggio di e-mail contenente un'intestazione troppo lunga.
"L'aggressore - spiega ISS - non necessita di alcuna specifica conoscenza del bersaglio per lanciare con successo un attacco".
È per questo motivo che gli esperti di sicurezza temono l'arrivo - potrebbe trattarsi di settimane come di pochi giorni - di un worm in grado di sfruttare la vulnerabilità per diffondersi automaticamente da un mailserver all'altro.
"Se gli amministratori di sistema non si affretteranno ad aggiornare i propri server - ha detto un esperto del CERT - questo ipotetico worm potrebbe avere una diffusione persino superiore a quella di flagelli come Code Red o SQL Slammer".
La pericolosità di un worm simile sta nel fatto che, una volta penetrato sul sistema, potrebbe installare backdoor e cavalli di Troia utilizzabili da cracker per lanciare imponenti attacchi di tipo distributed denial of service (DDoS).
Chris Rouland, esperto di sicurezza di IIS, ha spiegato che se un singolo attacco può mettere fuori uso un mailserver, o intasare di messaggi una rete locale, un gran numero di questi attacchi potrebbe inondare Internet di milioni di e-mail e causare un rallentamento globale della Rete simile, se non peggiore, a quello causato di recente da SQL Slammer.
Dopo aver scoperto la falla, ISS sostiene di aver immediatamente allertato il Department of Homeland Security (DoHS), l'organo governativo americano che di recente ha assorbito il National Infrastructure Protection Center dell'FBI e che, d'ora in avanti, avrà il compito di prevenire e gestire tutte le minacce informatiche. Il DoHS, che adotta una policy di tipo non-disclosure, ha impedito che la vulnerabilità divenisse di dominio pubblico comunicandone l'esistenza solo ad un selezionato numero di aziende. Una politica, questa, che se da tempo viene fortemente criticata dalla comunità open source - la quale, come noto, è invece a favore del full-disclosure -, negli ultimi anni ha trovato un appoggio sempre più ampio da parte dell'industria e del Governo USA.
Di seguito è possibile leggere un commento/approfondimento sulla vulnerabilità scritto da Alessandro Franceschi, responsabile di Openskills.info.
Aggiornamento (ore 11,00). Un gruppo di hacker polacchi, noto con il nome di
Last Stage of Delirium (LSD) ha sviluppato, in meno di 24 ore dall'annuncio della vulnerabilità di Sendmail, un exploit che è in grado di sfruttare la falla e consentire a chiunque di eseguire comandi arbitrari sul server vittima.
Al momento il tool funziona soltanto con le distribuzioni Linux di Red Hat e Slackware, ma gli esperti sostengono che il codice può essere facilmente adattato per colpire altre piattaforme Unix-like.
A questo punto, secondo alcuni esperti di sicurezza, potrebbe davvero essere questione di ore l'arrivo di un worm che sfrutti il codice scritto da LSD.