Ci sono bug nei sistemi operativi che vengono trovati e risolti prima di subito, ma ce ne sono anche altri che vengono scovati dopo anni e anni, lasciando quindi la porta aperta all’azione di eventuali malintenzionati per molto, anzi troppo tempo, come nel caso di quello presente in un popolare modulo del kernel Linux, recentemente individuato dopo ben cinque anni.
Linux: kernel 4.8 – 5.17-rc3 a rischio attacchi DoS ed esecuzione codice da remoto
A rendere nota la cosa è stato il ricercatore Samuel Page della società di sicurezza informatica Appgate, il quale ha fatto sapere che la vulnerabilità è un overflow del buffer dello stack, individuato nel modulo di rete del kernel di Linux per il protocollo TIPC (Transparent Inter-Process Communication). Il difetto permette ad un malintenzionato di mettere a segno attacchi di tipo DoS (Denial of Service) e in alcuni casi anche di eseguire codice da remoto.
Andando ancor più nel tecnico, la vulnerabilità sta nel fatto che durante i controlli di integrità iniziale la funzione non verifica che “member_cnt” sia inferiore a “MAX_MON_DOMAIN” che definisce la dimensione massima dell’array dei membri. Fingendo di essere un nodo peer e stabilendo un collegamento con il target, in locale o in remoto, è possibile inviare un record di dominio dannoso contenente un payload arbitrario e fintanto che i campi “len/member_cnt” corrispondono per i controlli di integrità questo sarà allocato in maniera corretta.
Tenendo conto di tutto ciò, gli utenti che utilizzando le versioni dalla 4.8 alla 5.17-rc3 del kernel Linux dovrebbero assicurarsi di applicare le patch disponibili per il sistema che fanno fronte al problema. Se per una qualsiasi ragione non è possibile aggiornare immediatamente il sistema, è bene applicare una configurazione che possa impedire a soggetti terzi di sfruttare la falla, ad esempio utilizzando la crittografia a livello di TIPC.