Il bug di Glibc su Linux potrebbe mettere a rischio migliaia di software e dispositivi

Il bug di Glibc su Linux potrebbe mettere a rischio milioni di utenti a causa di software e dispositivi vulnerabili

I ricercatori di sicurezza hanno scoperto una falla potenzialmente catastrofica in uno dei mattoni fondamentali di Internet che lascia centinaia o migliaia di app e dispositivi hardware vulnerabili ad attacchi che possono consentire a potenziali hacker di prenderne il controllo.

Secondo i ricercatori, la vulnerabilità esiste dal 2008, quando è stata introdotta nella GNU C Library. La GNU C Library è un codice open source utilizzato per alimentare migliaia di app, software ed è utilizzato nella maggior parte delle distribuzioni Linux. Il bug rende anche vulnerabili i router domestici e altri dispositivi dell’Internet delle Cose (IoT) agli attacchi.

Ars Technica nota che una funzione nota come getaddrinfo() che esegue ricerche di nomi di dominio contiene un bug di overflow del buffer che consente agli attaccanti di eseguire codice malevolo da remoto. Può essere sfruttato quando dispositivi o app vulnerabili effettuano query a nomi di dominio o server di nomi di dominio controllati dagli attaccanti o quando sono esposti ad attacchi man-in-the-middle in cui l’avversario ha la capacità di monitorare e manipolare i dati che passano tra un dispositivo vulnerabile e l’Internet aperto. Tutte le versioni di glibc dopo la 2.9 sono vulnerabili.

Il team di sviluppo di glibc ha rilasciato un aggiornamento che corregge la vulnerabilità. Ha richiesto che qualsiasi software o hardware che esegue ricerche di nomi di dominio installi la patch il prima possibile.

Tuttavia, a causa della natura del bug, è estremamente difficile sapere quanto sia grave il problema e quanti dispositivi potrebbero esserne colpiti.

“Molte persone stanno correndo in giro in questo momento cercando di capire se questo sia davvero catastrofico o se siamo riusciti a schivare un proiettile,” ha detto il Prof Alan Woodward, esperto di sicurezza dell’Università del Surrey.

Nonostante il rilascio di una patch, come detto sopra, il bug di glibc potrebbe lasciare migliaia di dispositivi nomadi, come i router domestici economici, vulnerabili. Inoltre, alcune app che sono state compilate con una versione vulnerabile di glibc dovranno essere ricompilate con una versione aggiornata della libreria, un processo che richiederà tempo mentre gli utenti aspettano che le correzioni diventino disponibili dai produttori di hardware e dagli sviluppatori di app.

In un post sul blog che spiega la scoperta, il team di Google ha dettagliato come una falla in alcuni codici comunemente usati potrebbe essere sfruttata in un modo che consente l’accesso remoto a un dispositivo, sia esso un computer, un router internet o un altro pezzo di attrezzatura connessa.

Il codice può anche trovarsi all’interno di molti dei cosiddetti “mattoni” del web: linguaggi di programmazione come PHP e Python sono interessati, così come i sistemi utilizzati per accedere ai siti o alla posta elettronica.

Chiunque sia in grado di aggiornare dovrebbe farlo il prima possibile. Il post del blog di Google ha continuato:

Google ha trovato alcune mitigazioni che potrebbero aiutare a prevenire lo sfruttamento se non sei in grado di patchare immediatamente la tua istanza di glibc. La vulnerabilità si basa su una risposta UDP o TCP sovradimensionata (2048+ byte), seguita da un’altra risposta che sovrascriverà lo stack. La nostra mitigazione suggerita è di limitare le dimensioni delle risposte (cioè, tramite DNSMasq o programmi simili) accettate dal risolutore DNS localmente e di garantire che le query DNS siano inviate solo a server DNS che limitano la dimensione della risposta per le risposte UDP con il bit di troncamento impostato.

Nel frattempo, i manutentori di Glibc hanno fornito i seguenti dettagli aggiuntivi sulle mitigazioni:

Fattori di mitigazione per UDP includono:
– Un firewall che scarta pacchetti UDP DNS > 512 byte.
– Un risolutore locale (che scarta risposte non conformi).
– Evitare query duali A e AAAA (evita errori di gestione del buffer) e.g.
Non usare AF_UNSPEC.
– Nessun uso di options edns0 in /etc/resolv.conf poiché EDNS0 consente
risposte più grandi di 512 byte e può portare a risposte DNS valide
che provocano overflow.
– Nessun uso di RES_USE_EDNS0 o RES_USE_DNSSEC poiché entrambi possono
portare a risposte DNS valide basate su EDNS0 di grandi dimensioni che possono provocare overflow. Fattori di mitigazione per TCP includono:
– Limitare tutte le risposte a 1024 byte. Mitigazioni che non funzionano:
– Impostare options single-request non cambia la gestione del buffer
e non previene lo sfruttamento.
– Impostare options single-request-reopen non cambia la gestione del buffer
e non previene lo sfruttamento.
– Disabilitare IPv6 non disabilita le query AAAA. L’uso di AF_UNSPEC
abilita incondizionatamente la query duale.
– L’uso di sysctl -w net.ipv6.conf.all.disable_ipv6=1 non
proteggere il tuo sistema dallo sfruttamento.
– Bloccare IPv6 a un risolutore locale o intermedio non funziona per
prevenire lo sfruttamento. Il payload di sfruttamento può essere consegnato in risultati A o
AAAA, è la query parallela che attiva il difetto di gestione del buffer.

La vulnerabilità viene paragonata a Shellshock, un bug scoperto nel 2014 che ha colpito un’ampia gamma di dispositivi informatici. I funzionari di Red Hat hanno ulteriori informazioni qui.