Linux è un sistema operativo insicuro dal 2000 , anno in cui nel codice del Pinguino è comparsa una grave falla di sicurezza. Da allora il bug rappresenta una minaccia costante per i prodotti software più popolari basati sul kernel FOSS, anche se i fattori di mitigazione del rischio non mancano.
Soprannominato GHOST, perché sfruttabile tramite le funzioni GetHOST, il bug adolescente è stato individuato nella versione 2.2 della GNU C Library (glibc), implementazione della libreria C standard di fondamentale importanza per tutti i sistemi operativi costruiti attorno a Linux.
La vulnerabilità è particolarmente facile da sfruttare, dicono i ricercatori di Qualys che hanno scoperto e classificato GHOST (CVE-2015-0235): tutto quello che occorre è una email composta in modo particolare, e alla ricezione del messaggio un server Linux vulnerabile verrà definitivamente compromesso con l’apertura di una shell operabile da remoto.
GHOST è particolarmente pericolosa anche in virtù del fatto che colpisce indiscriminatamente i sistemi operativi a 32 o 64-bit, ed è in grado di bypassare i meccanismi di sicurezza avanzati (ASLR, PIE, NX) a disposizione degli OS e dei processori moderni.
GHOST è in circolazione dall’inizio del secondo millennio, anche se in realtà il bug sarebbe stato corretto con un aggiornamento a Linux rilasciato nel 2013. Ma tale update non venne classificato come relativo a un problema di sicurezza, dicono da Qualys, quindi le distro con supporto a lungo termine (Ubuntu 12.04, Debian 7, CentOS 6 e 7, Red Hat Enterprise Linux 5-7 e altre) o non particolarmente aggiornate sono ancora vulnerabili.
La soluzione principale al problema GHOST è ovviamente l’installazione delle patch in via di distribuzione da parte delle principali aziende attive nel mercato Linux, suggerisce Qualys, e la società farà passare ancora qualche tempo prima di distribuire il codice di un exploit funzionante.
Alfonso Maruccia