Vulnerabilità di Systemd: Linux in pericolo
SICUREZZA INFORMATICA

Vulnerabilità di Systemd: Linux in pericolo

Le vulnerabilità di Systemd toccano anche Linux

Sono state recentemente scoperte tre vulnerabilità in Systemd, un popolare sistema init che la gran parte dei sistemi operativi Linux usa come service manager.

Si tratta di una scoperta non da poco, in quanto questo fatto potrebbe permettere attacchi locali oppure offrire un grosso vantaggio per il root access a dei programmi infetti, come si vedrà più avanti.

Le vulnerabilità di Systemd: quali sono e quali distribuzioni Linux intaccano

Le vulnerabilità di Systemd scoperte sono conosciute come:

  • CVE-2018-16864
  • CVE-2018-16865
  • CVE-2018-16866

Si tratta di vulnerabilità insite nel sistema, nello specifico, poste nel “systemd-journald“, ovvero quel servizio che raccoglie le informazioni dalle diverse fonti e crea dei registri degli eventi inserendo i dati nei diari stessi. Sostanzialmente, si trovano in un’area piuttosto vulnerabile del sistema, ovvero quella dove vengono custoditi i dati più sensibili: non quelli dell’utente, quanto quelli del sistema, il che apre la porta a situazioni ben più gravi di un semplice furto di dati.

Secondo quanto riportato, le 3 vulnerabilità menzionate andrebbero a intaccare anche molte delle distribuzioni Linux che si basano su Systemd, comprese Redhat e Debian. Si salvano invece distribuzioni quali SUSE Linux Enterprise 15, openSUSE Leap 15.0, Fedora 28 e 29: la loro fortuna risiede nel fatto che il loro codice è stato programmato con una protezione GCC -fstack-clash.

Le vulnerabilità di Systemd: in cosa consistono?

Delle tre vulnerabilità di Systemd individuate, le prime due sono quelle legate a problemi di memoria, o per meglio dire, di immagazzinamento dei dati, mentre la terza, quella più rischiosa, riguarda complicazioni alla lettura out-of-bounds. Sebbene le prime due vulnerabilità non siano comunque da prendere sottogamba, è la terza a presentarsi come vero problema, in quanto potrebbe, potenzialmente, risultare in una fuga di dati sensibili.

Il problema non sta tanto nella compromissione del sistema in sé, quanto nella facilità dell’accesso, che queste vulnerabilità forniscono: le vulnerabilità scoperte potrebbero risultare in una escalation di privilegi, il che permetterebbe a un utente autenticato di agire come root, modificando il sistema e usandolo a suo piacimento. In sostanza, le vulnerabilità di Systemd rappresentano una back door, una porticina dalla quale i malintenzionati potrebbero entrare per attuare piani più vasti, siano essi il furto di dati sensibili o la completa revisione del sistema.

Le vulnerabilità di Systemd

La prima risposta alle vulnerabilità di Systemd che vanno a intaccare anche le distribuzioni di Linux è stata introdurre degli exploit di tipo proof-of-concept, ovvero degli attacchi al sistema messi in atto specificamente al fine di provare che il computer è vulnerabile.

Già in precedenza è stata scoperta una vulnerabilità simile, stavolta legata a Stack Clash, nel 2017. In questo caso la chiave d’accesso era un malware che offriva l’accesso al root anche agli utenti che non vi avevano diritto. Tuttavia, CVE-2018-16864, esisteva già nel 2013, anche se è diventata disponibile come exploit solamente nel febbraio 2016 (systemd v230), mentre CVE-2018-16865 è stata introdotta nel dicembre 2011 ed è diventata disponibile come exploit nell’aprile 2013 (systemd v201). Problemi che avrebbero dovuto essere già noti, insomma.

La particolarità riguarda la terza vulnerabilità di Systemd, che invece sarebbe stata introdotta nel giugno 2015, ma fixata per sbaglio nell’agosto 2018.

Le vulnerabilità di Systemd su Linux: cosa fare?

E’ necessario aspettare le patch, ovvero gli aggiornamenti che sistemeranno il problema. Ne sarà rilasciata presto una per ciascuna distribuzione di Linux, dunque non dovrebbero esserci problemi troppo grossi. Non ci sono, purtroppo, contromisure da adottare, in quanto le vulnerabilità sono interne, e compromettono componenti specifiche.

Tuttavia, le patch sono in arrivo, non dovrebbero impiegare più di qualche mese: controllare spesso gli aggiornamenti riguardanti la propria distribuzione di Linux è importante per agire tempestivamente.

Quello che le aziende possono fare, è tenere le proprie infrastrutture sempre protette e quantificare costantemente i propri livelli di rischio attraverso strumenti di sicurezza preventiva. Le attività periodiche di Vulnerability Assesssment e Network Scan possono aiutare le imprese a venire a conoscenza di eventuali falle nei propri sistemi.

Federico D’Agostino

Swascan Marketing Manager