Alfonso Maruccia

GRUB2, per violare il boot loader di Linux basta insistere

Identificato un pericoloso bug in uno dei boot loader Linux più popolari, una falla particolarmente facile da sfruttare (in locale) e capace di portare alla compromissione totale del sistema

Roma - I ricercatori Hector Marco e Ismael Ripoll hanno scovato un bug 0-day all'interno di GRUB2, boot loader open source usato su Ubuntu e altri sistemi operativi di alto profilo basati sul kernel di Linux. Sfruttare il baco è un'operazione semplice da portare a compimento, e i risultati sono di compromissione totale.

In sostanza, dicono i due ricercatori spagnoli, l'attuale pacchetto di GRUB2 non gestisce in maniera corretta il tasto cancella/backspace ed è possibile, per un attaccante che abbia guadagnano l'accesso locale alla macchina bersaglio, premere 28 volte il suddetto tasto per accedere alla shell di ripristino del boot loader; da qui in poi è infine possibile accedere ai dati presenti sul sistema, installare codice malevolo e altro ancora.

Il baco è stato classificato come CVE-2015-8370 e riguarda le versioni di GRUB2 comprese tra la release 1.98 (dicembre 2009) e la 2.02 (dicembre 2015), mentre il team di Ubuntu e i principali produttori di sistemi operativi Linux (Red Hat, Debian) hanno confermato l'esistenza del problema rilasciando apposite patch correttive.
Un aggiornamento "tampone" indipendente dagli OS che usano GRUB2 è stato in realtà rilasciato anche dai ricercatori che hanno individuato il baco, e com'è tradizione in questi casi l'update è più che consigliato: la falla può portare alla compromissione del sistema anche in presenza di una richiesta di password.

Alfonso Maruccia
Notizie collegate
88 Commenti alla Notizia GRUB2, per violare il boot loader di Linux basta insistere
Ordina
  • Cosa cambia, visto che bisogna avere le mani sulla macchina, dal far partire una disto live e resettare le password di qualunque sistema ci sia sotto?

    Mah.
    non+autenticato
  • Ma anche meno di una intera distro basta il "rescue disk" (che ovviamente non è detto che stia davvero su "disk" tanto per prevenire le solite obiezioni del pirla di turno).
    Anzi a essere onesto se hai accesso alla console basta abilitare nel bio il boot anche da rete....
    Mah...
    Queste "scoperte" del menga!
    Deluso
    non+autenticato
  • Sarà anche una falla 0 days, ma sembra un po` una stupidaggine.

    GRUB (che non è il boot loader di Linux ma un boot loader universale) riconosce l'hardware e il file system e integra un sistema di rescue molto potente che permette di fare quello che si vuole.

    Poi non so se UBUNTU l'ha bloccato in qualche modo ma non mi risulta :

    http://askubuntu.com/questions/92556/how-do-i-boot...

    Se poi c'è un baco è un'altra questione, ma se hai accesso a grub ci fai comunque di tutto.
    non+autenticato
  • Ci vuole accesso locale alla console, che è già una cosa da proteggere di suo.
    Certo, con iLO, DRAC, virtualizzazione & C, anche la console locale diventa accessibile da rete come un SSH.
    non+autenticato
  • - Scritto da: Mimmus
    > Ci vuole accesso locale alla console, che è già
    > una cosa da proteggere di
    > suo.
    > Certo, con iLO, DRAC, virtualizzazione & C, anche
    > la console locale diventa accessibile da rete
    > come un
    > SSH.
    ecco si... per ora le rogne (reali) maggiori si sono avute proprio con gli "standard ufficiali" di remote mgmt... tipo IPMI & BMC (ma anche iDRAC e RMM e altri...)
    non+autenticato
  • Linux rimane il sistema operativo più sicuro al mondo...
    Questo bug non scalfirà minimamente il suo status.
    Dopotutto questo è un bug che riguarda una percentuale bassissima di macchine e per exploitarlo bisogna che il malintenzionato abbia una profonda conoscenza del device "keyboard", specificatamente del tasto backspace... e tra le altre cose bisogna saper contare almeno fino a 28... insomma, una cosa complicatissima...
    non+autenticato
  • Bella, bravo.
    Si vede che sei uno competente.
    non+autenticato
  • - Scritto da: passavo...
    > Bella, bravo.
    > Si vede che sei uno competente.

    Allora sarà Aphex_twiks!!??
    non+autenticato
  • Ma pensa ad aggiornare GRUB va. A bocca aperta
  • e (ammesso che gli serva il grub) quando lo ha aggiornato se ha accesso alla console cosa gli impedisce di fare il boot ad esempio dalla rete montare quel che più gli aggrada e ottenere senza nessuna vulnerabilità lo stesso IDENTICO risultato?

    Ti do per certa la seguente notizia è molto più facile che far girare un prodotto Vmware sul raspino.
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: Vmware
    > Ti do per certa la seguente notizia è molto più
    > facile che far girare un prodotto Vmware sul
    > raspino.
    > Rotola dal ridereRotola dal ridere

    Nessun prodotto vmware ? Niente niente ? Sicuro ?
  • Allora io già mi vedo lo sviluppatore nella sua cameretta mojo mojo che scrive il codice.
    Lui, pensa, spetta che mi metto una combinazione / sequenza di tasti che se succede qualche casino mentre provo ne salto fuori.

    Perfetto lo avrei fatto anch'io.

    Poi il suddetto va a nanna e si dimentica il suddetto.

    Succede, sarebbe successo anche a me.

    Il codice arriva in repository e per la bellezza di 7 ANNI NESSUNO si accorge.

    Dai, non legge e non controlla niente nessuno.
    maxsix
    9966
  • - Scritto da: maxsix
    > Allora io già mi vedo lo sviluppatore nella sua
    > cameretta mojo mojo che scrive il
    > codice.
    > Lui, pensa, spetta che mi metto una combinazione
    > / sequenza di tasti che se succede qualche casino
    > mentre provo ne salto
    > fuori.
    >
    > Perfetto lo avrei fatto anch'io.
    >
    > Poi il suddetto va a nanna e si dimentica il
    > suddetto.

    Se avessi letto l'analisi invece di fermarti a due righe di articoletto, avresti capito che lo scenario non era proprio quello.
    Si intuiva anche sbirciando rapidamente il codice incriminato.


    > Succede, sarebbe successo anche a me.

    Complimentoni, ancora commetti errori così scolastici?
  • - Scritto da: Albedo 0,9
    > - Scritto da: maxsix
    > > Allora io già mi vedo lo sviluppatore nella
    > sua
    > > cameretta mojo mojo che scrive il
    > > codice.
    > > Lui, pensa, spetta che mi metto una
    > combinazione
    > > / sequenza di tasti che se succede qualche
    > casino
    > > mentre provo ne salto
    > > fuori.
    > >
    > > Perfetto lo avrei fatto anch'io.
    > >
    > > Poi il suddetto va a nanna e si dimentica il
    > > suddetto.
    >
    > Se avessi letto l'analisi invece di fermarti a
    > due righe di articoletto, avresti capito che lo
    > scenario non era proprio
    > quello.

    Certo certo [cit.]

    > Si intuiva anche sbirciando rapidamente il codice
    > incriminato.
    >
    Che tu hai fatto vero?
    Ma dimmi, in 7 anni potevi dare una sbirciata no?

    No.

    >
    > > Succede, sarebbe successo anche a me.
    >
    > Complimentoni, ancora commetti errori così
    > scolastici?

    Le cose alle volte sfuggono. Non gli butto la croce sopra allo sviluppatore visto il caso e l'esigenza.
    Gliela butto, e pesante, a chi in 7 ANNI non ha guardato niente.

    Perché se è vero che anche tu velocemente, parole tue, hai visto la cosa non si capisce come in 7 ANNI nessun povero cristo se ne sia accorto.
    maxsix
    9966
  • - Scritto da: maxsix
    > - Scritto da: Albedo 0,9
    > > - Scritto da: maxsix
    > > > Allora io già mi vedo lo sviluppatore
    > nella
    > > sua
    > > > cameretta mojo mojo che scrive il
    > > > codice.
    > > > Lui, pensa, spetta che mi metto una
    > > combinazione
    > > > / sequenza di tasti che se succede
    > qualche
    > > casino
    > > > mentre provo ne salto
    > > > fuori.
    > > >
    > > > Perfetto lo avrei fatto anch'io.
    > > >
    > > > Poi il suddetto va a nanna e si
    > dimentica
    > il
    > > > suddetto.
    > >
    > > Se avessi letto l'analisi invece di fermarti
    > a
    > > due righe di articoletto, avresti capito che
    > lo
    > > scenario non era proprio
    > > quello.
    >
    > Certo certo [cit.]

    Se avessi sbirciato il codice seguendo il link all'analisi, avresti capito che non si trattava di certo dello scenario in cui "massì, evito questo if così se ho bisogno premo 27 volte backspace ed entro lo stesso".

    Al contrario, come al solito, ti fermi ai titoloni e sfrutti la situazione per sparare i soliti luoghi comuni anti-open-source.


    > Ma dimmi, in 7 anni potevi dare una sbirciata no?

    Questo è un altro discorso che riguarda la problematica del peer review.

    Dai, ora rispondi "Eh ma qui dentro è pieno di cantinari che sono convinti che blablabla".


    > > Complimentoni, ancora commetti errori così
    > > scolastici?
    >
    > Le cose alle volte sfuggono. Non gli butto la
    > croce sopra allo sviluppatore visto il caso e
    > l'esigenza.

    Le cose si possono evitare, se nel tempo ti sei educato a farlo.
    Se piazzi codice di debug senza neanche condizionarlo per la produzione (l'hai detto tu che sarebbe capitato anche a te), stiamo messi maluccio.


    > Gliela butto, e pesante, a chi in 7 ANNI non ha
    > guardato
    > niente.
    >
    > Perché se è vero che anche tu velocemente, parole
    > tue, hai visto la cosa non si capisce come in 7
    > ANNI nessun povero cristo se ne sia
    > accorto.

    Si capisce eccome: molto probabilmente nessuno c'aveva guardato.

    Ripeto: non stavo parlando di peer review, ma del fatto che neanche ti sei degnato di guardare se si trattava davvero di una backdoor.
  • >
    > Si capisce eccome: molto probabilmente nessuno
    > c'aveva
    > guardato.
    >

    Che è quello che sostengo. Attento a non darmi ragione, potresti ritrovarti i muezzin cantinari sotto casa.

    > Ripeto: non stavo parlando di peer review, ma del
    > fatto che neanche ti sei degnato di guardare se
    > si trattava davvero di una
    > backdoor.

    Che è ininfluente sul mio discorso, anzi se è così è ancora peggio perchè io l'ho messa sulla sbadataggine tu me la esponi in modo molto più grave.
    maxsix
    9966
  • - Scritto da: maxsix
    > >
    > > Si capisce eccome: molto probabilmente
    > nessuno
    > > c'aveva
    > > guardato.
    > >
    >
    > Che è quello che sostengo. Attento a non darmi
    > ragione, potresti ritrovarti i muezzin cantinari
    > sotto
    > casa.
    >
    > > Ripeto: non stavo parlando di peer review,
    > ma
    > del
    > > fatto che neanche ti sei degnato di guardare
    > se
    > > si trattava davvero di una
    > > backdoor.
    >
    > Che è ininfluente sul mio discorso, anzi se è
    > così è ancora peggio perchè io l'ho messa sulla
    > sbadataggine tu me la esponi in modo molto più
    > grave.

    Ok, visto che ti piace buttiamola in caciara con la peer review.

    Cominciamo a rispondere a questa domanda che fa cappello a tutto il discorso:
    quando in un sistema commerciale viene impiegato sw open source e, quest'ultimo a causa di bug e incompletezze corrompe la funzionalità del sistema stesso, che a sua volta produce danni alla clientela. Su chi ricade la responsabilità legale?
    -----------------------------------------------------------
    Modificato dall' autore il 18 dicembre 2015 16.41
    -----------------------------------------------------------
  • - Scritto da: Albedo 0,9
    > - Scritto da: maxsix
    > > >
    > > > Si capisce eccome: molto probabilmente
    > > nessuno
    > > > c'aveva
    > > > guardato.
    > > >
    > >
    > > Che è quello che sostengo. Attento a non
    > darmi
    > > ragione, potresti ritrovarti i muezzin
    > cantinari
    > > sotto
    > > casa.
    > >
    > > > Ripeto: non stavo parlando di peer
    > review,
    > > ma
    > > del
    > > > fatto che neanche ti sei degnato di
    > guardare
    > > se
    > > > si trattava davvero di una
    > > > backdoor.
    > >
    > > Che è ininfluente sul mio discorso, anzi se è
    > > così è ancora peggio perchè io l'ho messa
    > sulla
    > > sbadataggine tu me la esponi in modo molto
    > più
    > > grave.
    >
    > Ok, visto che ti piace buttiamola in caciara con
    > la peer
    > review.
    >
    > Cominciamo a rispondere a questa domanda che fa
    > cappello a tutto il
    > discorso:
    > quando in un sistema commerciale viene impiegato
    > sw open source e, quest'ultimo a causa di bug e
    > incompletezze corrompe la funzionalità del
    > sistema stesso, che a sua volta produce danni
    > alla clientela. Su chi ricade la responsabilità
    > legale?

    Ininfluente, nessuno nel closed sbandiera il fatto che visto che il software lo vedono in mille mila persone è esente da difetti più o meno fortuiti.

    Fine del discorso.
    maxsix
    9966
  • - Scritto da: maxsix
    > > Cominciamo a rispondere a questa domanda che
    > fa
    > > cappello a tutto il
    > > discorso:
    > > quando in un sistema commerciale viene
    > impiegato
    > > sw open source e, quest'ultimo a causa di
    > bug
    > e
    > > incompletezze corrompe la funzionalità del
    > > sistema stesso, che a sua volta produce danni
    > > alla clientela. Su chi ricade la
    > responsabilità
    > > legale?
    >
    > Ininfluente, nessuno nel closed sbandiera il
    > fatto che visto che il software lo vedono in
    > mille mila persone è esente da difetti più o meno
    > fortuiti.
    >
    > Fine del discorso.

    Vero, te lo vendono AS IS, che è ancor più terribile.
    Fine del triste paragone.
  • - Scritto da: Albedo 0,9
    > - Scritto da: maxsix
    > > > Cominciamo a rispondere a questa
    > domanda
    > che
    > > fa
    > > > cappello a tutto il
    > > > discorso:
    > > > quando in un sistema commerciale viene
    > > impiegato
    > > > sw open source e, quest'ultimo a causa
    > di
    > > bug
    > > e
    > > > incompletezze corrompe la funzionalità
    > del
    > > > sistema stesso, che a sua volta produce
    > danni
    > > > alla clientela. Su chi ricade la
    > > responsabilità
    > > > legale?
    > >
    > > Ininfluente, nessuno nel closed sbandiera il
    > > fatto che visto che il software lo vedono in
    > > mille mila persone è esente da difetti più o
    > meno
    > > fortuiti.
    > >
    > > Fine del discorso.
    >
    > Vero, te lo vendono AS IS, che è ancor più
    > terribile.
    > Fine del triste paragone.

    Qua di triste è il solito discorso del codice aperto e i bug since 10 years old
    maxsix
    9966
  • - Scritto da: maxsix
    > - Scritto da: Albedo 0,9
    > > - Scritto da: maxsix
    > > > > Cominciamo a rispondere a questa
    > > domanda
    > > che
    > > > fa
    > > > > cappello a tutto il
    > > > > discorso:
    > > > > quando in un sistema commerciale
    > viene
    > > > impiegato
    > > > > sw open source e, quest'ultimo a
    > causa
    > > di
    > > > bug
    > > > e
    > > > > incompletezze corrompe la
    > funzionalità
    > > del
    > > > > sistema stesso, che a sua volta
    > produce
    > > danni
    > > > > alla clientela. Su chi ricade la
    > > > responsabilità
    > > > > legale?
    > > >
    > > > Ininfluente, nessuno nel closed
    > sbandiera
    > il
    > > > fatto che visto che il software lo
    > vedono
    > in
    > > > mille mila persone è esente da difetti
    > più
    > o
    > > meno
    > > > fortuiti.
    > > >
    > > > Fine del discorso.
    > >
    > > Vero, te lo vendono AS IS, che è ancor più
    > > terribile.
    > > Fine del triste paragone.
    >
    > Qua di triste è il solito discorso del codice
    > aperto e i bug since 10 years
    > old

    Mi sembra che ormai la storia abbia ampiamente dimostrato le limitazioni dell'open vs closed.
    Di conseguenza avrai effettuato le giuste scelte del caso.

    Cosa gira sui tuoi server aziendali?
  • - Scritto da: Albedo 0,9
    (cut)

    > Mi sembra che ormai la storia abbia ampiamente
    > dimostrato le limitazioni dell'open vs
    > closed.
    > Di conseguenza avrai effettuato le giuste scelte
    > del
    > caso.
    >
    > Cosa gira sui tuoi server aziendali?
    ..... "server aziendali"? io rimango sempre colpito da chi crede di intavolare una discussione tecnica con un porta-caffe' del Genius Bar ... va' perculato e bastaCon la lingua fuori
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)