Un cavallo di Troia è rimasto nascosto per quasi sette mesi in UnrealIRCd , uno dei più diffusi server IRC open source. L’imbarazzante vicenda è stata rivelata sul sito ufficiale del software, dove si spiega che il file Unreal3.2.8.1.tar.gz per Linux presente sui mirror del progetto “è stato sostituito qualche tempo fa con una versione contenente una backdoor (trojan)”. Il port ufficiale per Windows e le versioni per Linux scaricate prima del 10 novembre 2009 non dovrebbero contenere alcuna “sorpresa”.
Nel post di Syzop , uno dei maintainer del software, si apprende che la backdoor poteva consentire ad un malintenzionato di eseguire qualsiasi comando con gli stessi privilegi con cui gira il demone ircd. “La backdoor – prosegue il post – può essere eseguita indipendentemente dalle restrizioni utente (dunque anche nel caso in cui avete protetto il server o l’hub con una password che impedisce l’accesso a qualsiasi utente)”.
Il file sostituito, relativo alla versione per Linux, sembra risalire allo scorso novembre: ciò significa che in quasi sette mesi nessuno si è accorto che questa versione del software conteneva al suo interno un trojan. Come spesso ricordano certi esperti di sicurezza, la disponibilità del codice sorgente, da sola, non garantisce che un software sia libero da malware o altre minacce per la sicurezza.
Va però sottolineato come il grave problema di sicurezza che ha interessato UnrealIRCd nasca, su stessa ammissione di Syzop, dalle negligenze dei suoi maintainer: i file erano privi di firma digitale, e nessuno ne verificava periodicamente l’autenticità. Gli sviluppatori del software hanno ora promesso controlli più accurati e l’uso di PGP/GPG per firmare tutti i pacchetti binari.
Le istruzioni da seguire per verificare la versione di UnrealIRCd e rimuovere l’eventuale backdoot sono riportate qui .
Alessandro Del Rosso