Quella che sto per darvi non è affatto una buona notizia: poco più di una settimana fa è stata scoperta un’interessante vulnerabilità nel kernel 2.6.39 – che purtroppo si protrae anche alle versioni superiori – a dir poco pericolosa: infatti, stando a quanto il blog zx2c4 pubblica, è alquanto semplice – tracciando ben benino il comando “su”, scrivendo uno shellcode appropriato ed iniettandolo al comando stesso all’atto dell’esecuzione – guadagnare privilegi amministrativi su una macchina anche quando non se ne ha diritto.
Volete sapere se la macchina da cui sto scrivendo è vulnerabile? Ebbene si, lo è.
Vi spiego: il team di sviluppo del kernel, a partire dalla versione 2.6.39, ha rimosso una clausola #ifdef dal codice sorgente (clausola che impediva la scrittura a processi arbitrari sul file /proc/<pid>/mem) ritenendo sufficienti altri meccanismi di sicurezza già implementati. Questa rimozione, ovviamente, si è protratta per le versioni del kernel Linux superiori alla 2.6.39, con il risultato che, circa 3 giorni fa, zx2c4 ha scritto un bell’exploit per utilizzare la falla e, a quanto pare, ci è riuscito.
Ecco il risultato dell’esecuzione dell’exploit sulla mia macchina:
Come vedete, dopo l’esecuzione, mi sono ritrovata in una shell con permessi di root senza aver volontariamente digitato il comando “sudo”, tantomeno il comando “su”. E, occhio, il mio kernel è un 3.0.0.
Gli sviluppatori del kernel questo lo sanno, tant’è che il commit è stato evaso il 17 Gennaio 2012 e che tutti i codici sorgenti del kernel presenti su Kernel.org (ed i relativi branch in GIT) sono immuni dall’exploit.
Purtroppo, però, non tutti sono capaci di ricompilare il proprio kernel a mano (cosa che sto facendo, al momento, sulle altre due macchine presenti in casa mia e su alcuni server remoti), e che non si sa ancora niente riguardo ai kernel pre-confezionati che arrivano insieme alle nostre belle distribuzioni (vedi Ubuntu, Mint, SuSE, Mandriva e compagnia cantante). Con il risultato che i kernel generici pre-impacchettati, a partire dalla versione 2.6.39 passando per tutte le versioni rilasciate prima del 18 Gennaio, risultano al momento tutti vulnerabili.
Per testare se il vostro (o i vostri) computer soffrono di questa vulnerabilità potrete eseguire l’exploit, pubblicato e spiegato dettagliatamente sul blog zx2c4.
Il mio consiglio? Se siete proprietari o gestori di un server Linux ricompilate immediatamente il kernel. Se, invece, siete utenti home e non avete (giustamente, come potrei biasimarvi?) le competenze necessarie per la ricompilazione manuale del kernel, allora assicuratevi di avere quantomeno chiusa le porte 21, 22 e 23 sul vostro router e non mollate il PC in mano a sconosciuti, in attesa del rilascio di un kernel generico sicuro.
[edit]: I kernels generici di Ubuntu (e, di conseguenza, delle distribuzioni Ubuntu-based) sono stati patchati qualche ora fa. Per aggiornare il vostro (o i vostri) kernel basta aprire un terminale e digitare
sudo apt-get update & sudo apt-get dist-upgrade