L’uso del kernel Linux nell’implementazione di differenti soluzioni hardware non è una novità, anzi è ormai una consuetudine che avvantaggia i produttori nell’abbattere i costi di sviluppo del software di base delle loro soluzioni. 

Ovviamente questo allarga la platea degli utilizzatori di Linux “a loro insaputa” (più o meno): i dispositivi Android, ad esempio, sono una di queste soluzioni, ma anche i prodotti per lo storage di massa come il blasonato marchio QNAP, così come tanti altri prodotti IoT. Non c’è da stare tranquilli quindi quando si disponga di queste soluzioni, in quanto il ciclo di aggiornamenti differisce (a volte anche fortemente) con i rilasci correttivi che avvengono a livello di sviluppo del Kernel (in mano a Torvalds): i motivi sono di semplice packaging e distribuzione, o nei casi più estremi, di obsolescenza del prodotto che non prevede quindi ulteriori aggiornamenti dalla casa madre. 

D’altronde c’è da considerare, nella valutazione del rischio, anche l’ampia platea di implementazioni software che si basano su tecnologia Linux, come moltissimi servizi Web su Internet e soprattutto molti servizi cloud. 

Quindi, quando Linux ha un problema, molti hanno un problema. 

L’ultimo che è saltato fuori nel panorama Linux è la vulnerabilità a livello kernel denominata “Dirty Pipe” (per il coinvolgimento del sistema di comunicazione inter processo dei sistemi Unix in questa vulnerabilità) e censita con CVE-2022-0847 (con un base score 7.8, quindi considerata molto seria). Questo difetto può consentire ad un utente non privilegiato di ottenere privilegi superiori nel seguente modo: creando una pipe su cui ha permessi di scrittura, l’attaccante, confondendo il kernel, fa credere a questo che la pipe in questione sia invece un file su cui in effetti non avrebbe permessi di scrittura, ed in questo modo ottenendoli. Questo può naturalmente aumentare i privilegi dell’attaccante sul sistema. 

Le versioni kernel interessate sono le successive alla 5.8, quindi sono esenti le precedenti. In particolare il difetto è stato già corretto nelle versioni 5.16.11, 5.15.25 e 5.10.102 che molte distribuzioni Linux stanno già rilasciando. 

Diversa cosa, per i differenti tempi di rilascio suddetti, è per altri sistemi, come ad esempio i dispositivi QNAP con sistemi QTS 5.0 e QuTS hero h5.0.x (tutti i modelli basati su x86 e qualcuno su arm) che stanno attendendo la correzione dalla casa madre, oppure per i telefoni Google Pixel 6 e Samsung Galaxy S22 (estremamente popolari), basati su kernel Linux 5.10.43, dunque vulnerabili fino a che l’utente, più che la casa madre, provveda ad eseguire l’aggiornamento (eventualmente disponibile). Per altri dispositivi Android è difficile avere una chiara visione della situazione, ma è probabile che in giro ci siano molte versioni 5.x, e non parliamo del panorama dei dispositivi IoT (vero e proprio buco nero). 

Unico vantaggio di tutta questa situazione è che la vulnerabilità necessita di un accesso locale, ossia l’attaccante deve essere in qualche modo già presente sul dispositivo, ma nel mondo mobile ad esempio, più facilmente che in altri contesti, è possibile che l’attaccante si materializzi localmente attraverso una app trojanizzata. 

Quindi, cautela e (ove possibile) aggiornare urgentemente.

Tweet