Roma – Una grave falla che colpisce il più diffuso Mail Transfer Agent (MTA) al mondo, Sendmail, ha fatto scattare l’allarme rosso in Internet. Il popolare mailserver open source gestisce, secondo alcune stime, fra il 50% e il 75% di tutto il traffico e-mail che passa attraverso la Rete, numeri che fanno ben comprendere l’urgenza con cui esperti di sicurezza e autorità governative stanno sollecitando le aziende ad aggiornare quanto prima i propri server.
La falla, scoperta alla fine di dicembre dalla società di sicurezza Internet Security Systems (ISS), potrebbe essere sfruttata da un aggressore per guadagnare i privilegi del demone di Sendmail, tipicamente quelli di utente “root”. Il problema interessa tutte le versioni di Sendmail, incluse quelle commerciali (Pro), precedenti alla versione 8.12.8.
Il Sendmail Consortium ha rilasciato una nuova versione di Sendmail e una serie di patch che pongono fine al problema. Nella giornata di ieri sono stati rilasciati fix di sicurezza anche da tutti i vendor che commercializzano prodotti contenenti Sendmail, fra cui i maggiori distributori di Linux, Apple, HP, IBM, Sun e Cisco.
ISS spiega nel proprio advisory di sicurezza che il bug, un buffer overflow, è particolarmente grave per il fatto di poter essere sfruttato attraverso l’invio di un semplice messaggio di e-mail contenente un’intestazione troppo lunga.
“L’aggressore – spiega ISS – non necessita di alcuna specifica conoscenza del bersaglio per lanciare con successo un attacco”.
È per questo motivo che gli esperti di sicurezza temono l’arrivo – potrebbe trattarsi di settimane come di pochi giorni – di un worm in grado di sfruttare la vulnerabilità per diffondersi automaticamente da un mailserver all’altro.
“Se gli amministratori di sistema non si affretteranno ad aggiornare i propri server – ha detto un esperto del CERT – questo ipotetico worm potrebbe avere una diffusione persino superiore a quella di flagelli come Code Red o SQL Slammer”.
La pericolosità di un worm simile sta nel fatto che, una volta penetrato sul sistema, potrebbe installare backdoor e cavalli di Troia utilizzabili da cracker per lanciare imponenti attacchi di tipo distributed denial of service (DDoS).
Chris Rouland, esperto di sicurezza di IIS, ha spiegato che se un singolo attacco può mettere fuori uso un mailserver, o intasare di messaggi una rete locale, un gran numero di questi attacchi potrebbe inondare Internet di milioni di e-mail e causare un rallentamento globale della Rete simile, se non peggiore, a quello causato di recente da SQL Slammer.
Dopo aver scoperto la falla, ISS sostiene di aver immediatamente allertato il Department of Homeland Security (DoHS), l’organo governativo americano che di recente ha assorbito il National Infrastructure Protection Center dell’FBI e che, d’ora in avanti, avrà il compito di prevenire e gestire tutte le minacce informatiche. Il DoHS, che adotta una policy di tipo non-disclosure, ha impedito che la vulnerabilità divenisse di dominio pubblico comunicandone l’esistenza solo ad un selezionato numero di aziende. Una politica, questa, che se da tempo viene fortemente criticata dalla comunità open source – la quale, come noto, è invece a favore del full-disclosure -, negli ultimi anni ha trovato un appoggio sempre più ampio da parte dell’industria e del Governo USA.
Di seguito è possibile leggere un commento/approfondimento sulla vulnerabilità scritto da Alessandro Franceschi, responsabile di Openskills.info.
Aggiornamento (ore 11,00). Un gruppo di hacker polacchi, noto con il nome di Last Stage of Delirium (LSD) ha sviluppato, in meno di 24 ore dall’annuncio della vulnerabilità di Sendmail, un exploit che è in grado di sfruttare la falla e consentire a chiunque di eseguire comandi arbitrari sul server vittima.
Al momento il tool funziona soltanto con le distribuzioni Linux di Red Hat e Slackware, ma gli esperti sostengono che il codice può essere facilmente adattato per colpire altre piattaforme Unix-like.
A questo punto, secondo alcuni esperti di sicurezza, potrebbe davvero essere questione di ore l’arrivo di un worm che sfrutti il codice scritto da LSD.
La notizia fa già discutere e non potrebbe essere altrimenti. Ha origine il 3 marzo da ISS , che annuncia la scoperta di una seria nuova vulnerabilità di Sendmail, uno dei server SMTP più usati in rete. Rimbalza nelle headlines dei primi security alert, si annuncia ampiamente sul sito di Sendmail Inc. , compare nel CERT advisory 2003-7 e approda, con qualche ora di ritardo, su Slashdot .
Mentre s’infiammano in rete discussioni e disquisizioni, considerazioni e consigli, ironie e preoccupazioni, inizia un nuovo round della sfumata lotta fra cracker e sysadmin. I primi a ingegnarsi nel trovare il modo di sfruttare la vulnerabilità annunciata, alcuni dei secondi in affannosa ricerca delle patch con in mente orrorifiche visioni di mass mailing e worming.
Sendmail è uno dei simboli dell’OpenSource e di Internet stessa. Ha consegnato messaggi fin dagli albori della rete, scambiando e-mail e file fra server Unix in tempi innocenti, quando non ci si preoccupava molto della sicurezza dei sistemi e dei protocolli. È cresciuto di versione in versione e si è portato dietro una logica complessa, estremamente flessibile ma a suo modo contorta, che ha richiesto ripetute correzioni e pezze per rincorrere le sempre più variegate vulnerabilità che gli venivano trovate.
Negli ultimi tempi il suo sviluppo si era consolidato, da almeno un paio d’anni non venivano scoperti bug pericolosi e, nonostante la crescente concorrenza di altri mailer OpenSource come Postfix e Qmail, nati dopo e intrinsecamente più sicuri, è stato per molti una scelta stabile e affidabile.
Il buco, reso noto il 3 marzo ma scoperto da settimane e comunicato il 31 gennaio a Sendmail Inc. dal team X Force di ISS per consentire alla prima di preparare un’adeguata patch al momento dell’annuncio pubblico, sfrutta una falla presente nel codice di tutte le versioni di Sendmail, fino alla 8.12.8, rilasciata con la correzione del problema.
Uno dei meccanismi di controllo degli indirizzi di posta elettronica presenti negli header di un messaggio (tipicamente to: , from: cc: , e bcc: ) gestisce in modo non corretto una variabile e questo può essere sfruttato per dare luogo ad un buffer overflow, che può essere utilizzato per eseguire comandi arbitrari sul sistema con i privilegi con cui gira Sendmail, solitamente root.
Ufficialmente non esiste ancora un exploit diffuso in rete in grado di sfruttare questa vulnerabilità, ma ISS ne ha dimostrato l’applicabilità su sistemi in produzione e il fatto di poter essere attivato tramite gli header di un qualunque messaggio di posta ne amplia in modo smisurato la pericolosità.
Gli scenari che si aprono nelle menti dei cracker più crudeli (un vero hacker non metterebbe mai in circolazione un simile exploit) e dei tecnici più consapevoli, sono inquietanti e variegati: orde di spam-mail maligne, che portano nei loro header un payload virulento, in grado di compromettere server non patchati e, eventualmente, duplicarsi e diffondersi, come un feroce worm sterminatore di Sendmail non aggiornati.
I virus writer staranno già pensando ad una nuova generazione di virus, la cui definizione sfuma in quella di worm, che non infetta i client Windows degli utenti finali ma i server Unix che ne gestiscono tutti i messaggi, si diffondono via mail ma, a differenza di normali virus, lo fanno automaticamente, senza nemmeno l’ignaro intervento umano, possono corrompere sia server di posta pubblici che server interni, nel cuore delle reti aziendali, attraversando firewall per la lecita porta 25 e consegnando a destinazione mail dagli effetti arbitrari, stabiliti da chi le ha mandate.
La prospettiva non è nuova, anche una recente vulnerabilità di Fetchmail, un programma OpenSource molto utilizzato su Linux e altre piattaforme Unix-like per scaricare e processare posta da un server remoto, permette di ottenere privilegi di root tramite un buffer overflow che può essere potenzialmente sfruttato con una normale e-mail.
Il fatto di non aver ancora visto in circolazione un worm o un virus che possano sfruttare questi buchi e eventualmente trovare un meccanismo per auto diffondersi dipende dall’intrinseca difficoltà di un simile attacco, soprattutto se si cerca di renderlo efficace su ignoti e generici sistemi.
Ma questo non deve far stare tranquilli gli amministratori di sistema pigri o troppo occupati: il recente worm SQL Slammer ha messo in ginocchio Internet sfruttando un buco di sicurezza reso pubblico, con relative patch, più di sette mesi fa ed è presumibile che molti, con diversi scopi e diverse mentalità, si impegneranno per realizzare un exploit utilizzabile nella pratica.
Simili prospettive inevitabilmente riscalderanno le prese di posizione sull’approccio alla sicurezza del software aperto rispetto a quello proprietario, scateneranno scherno e polemica fra fanatici di Linux e dell’OpenSource e militanti di Windows e avranno eco variabile su siti tecnici e d’informazione in rete.
Tecnicamente questa è un’altra vulnerabilità grave di un software molto diffuso su server Internet, permette un root compromise da remoto, praticamente il peggio che possa accadere ad un sistema Unix; non è ancora diffuso un exploit che possa sfruttarla ma potrebbe esserlo in futuro, con conseguenze e possibilità di diffusione potenzialmente notevoli; si risolve semplicemente aggiornando il proprio Sendmail, pratica che non è certo immediata se si devono ricompilare i sorgenti, ma diventa estremamente semplice, o addirittura automatica, se il vendor del proprio Linux o Unix ha provveduto a rilasciarne i pacchetti aggiornati.
Chi ha una macchina con Red Hat Linux 8.0, per esempio, ha potuto aggiornare Sendmail praticamente senza interrompere il servizio, prima ancora di leggerne la notizia in rete.
Chi utilizza una versione commerciale di Sendmail, ha potuto scaricare immediatamente comode patch dal sito di Sendmail.com, mentre su Sendmail.org venivano pubblicati i nuovi sorgenti della versione 8.12.8. Gradualmente tutte le distribuzioni Linux e i produttori Unix stanno rilasciando i propri aggiornamenti: il problema è potenzialmente troppo serio per poter essere sottovalutato.
I tempi di risposta, anche grazie all’oculata policy di disclosure adottata da ISS che ha permesso il rilascio della patch contemporaneamente all’annuncio pubblico della vulnerabilità, sulla disponibilità degli aggiornamenti da parte di molti vendor sono stati inequivocabilmente rapidi. A dimostrazione che il supporto commerciale per prodotti OpenSource esiste, è efficace e giustifica il suo costo, che spesso è al di sotto delle medie di mercato.
I pregi e le insidie dell’OpenSource, in termini di sicurezza, si sono rilevati in tutte le loro contraddizioni. ISS ha fatto un profondo code auditing sui sorgenti di Sendmail per individuare questa falla, il codice di Sendmail stesso ne uscirà rafforzato e più sicuro dopo l’ennesima profonda revisione che ha subito; gli amministratori di sistemi vulnerabili hanno il tempo di aggiornare le loro macchine ma molti server resteranno scoperti, dimenticati, potenzialmente vulnerabili e insicuri. Se qualcuno, con diverso spirito e intenzioni fosse riuscito a scoprire per primo questo buco, avrebbe avuto la possibilità di penetrare un grandissimo numero di server e, se fosse riuscito a farne un worm avrebbe, ancora una volta, potuto mettere in ginocchio la rete, almeno per qualche ora.
Questa intrinseca vulnerabilità di Internet e dei suoi server, in realtà, prescinde dalla policy di rilascio del codice e investe l’apparentemente irrisolvibile problema di praticamente ogni software usato in rete: prima o poi qualcuno, con metodi ingegnosi e approcci innovativi, riuscirà a trovare una nuova falla e questo richiederà l’inevitabile pezza.
Nella corsa senza fine alla sicurezza informatica, chi si aggiorna per primo vince.
Alessandro Franceschi
Openskills.info
Ti potrebbe interessare
5 mar 2003