VULNERABILITÀ CRITICA DI LINUX espone in modo grave i web server

Ago 11, 2016 Marco Schiaffino Attacchi, Emergenze, In evidenza, News, Vulnerabilità 0

Allarme rosso: le specifiche per le connessioni TCP contengono una falla che consente a un cyber-criminale di portare attacchi intervenendo direttamente sulla connessione tra un computer e un server Web.

Le vulnerabilità di Linux sono piuttosto rare, ma l’esperienza insegna che di solito hanno un impatto devastante. La conferma arriva dalla pubblicazione di una ricerca che mette a nudo una clamorosa falla nelle specifiche TCP implementate a partire dal 2012.

La vulnerabilità riguarda lo standard RFC 5961 utilizzato per gestire le connessioni TCP. Sfruttandola, un pirata informatico potrebbe individuare una connessione TCP su Internet tra due qualsiasi computer e portare un attacco che consentirebbe di abbattere il collegamento o iniettare codice maligno verso uno dei due. Tempo necessario per il tutto: tra i 40 e i 60 secondi.

Niente eseguibili allegati alle email, tecniche di phishing o ingegneria sociale: l’attacco è l’equivalente di un missile nucleare che può piombare in testa a chiunque e in qualsiasi momento.

La tecnica di attacco, oltre a consentire l’installazione di codice maligno su server e computer, consentirebbe anche di compromettere le connessioni tramite Tor, il circuito per la navigazione anonima su Internet. In questo caso l’attacco è in grado di “abbattere” i nodi che consentono di oscurare l’IP durante la navigazione.

Lo studio, effettuato da un gruppo di ricercatori dell’Università della California in collaborazione con il Laboratorio di Ricerca dell’esercito degli Stati Uniti, parte dallo sgretolamento di una delle certezze su cui si basano le misure di protezione delle comunicazioni su Internet.

Come i ricercatori spiegano nel corposo documento pubblicato su Internet in occasione del 25esimo Usenix Security Symposium, è opinione comune che non sia possibile scoprire se sia in corso una connessione TCP tra due computer a meno di non fare parte della catena di comunicazione.

Un attacco che ha come vettore la semplice connessione a un server Web è un vero incubo di sicurezza.

Questo significa che per portare un eventuale attacco, il pirata dovrebbe avere accesso a una macchina che, in qualche punto, agisce come “nodo” nella comunicazione. Un concetto che era già stato messo in discussione, ma le tecniche individuate richiedevano tempi lunghissimi.

L’introduzione dello standard RFC 5961, introdotto nel 2012 con lo scopo (sigh) di rendere più sicuro il protocollo di comunicazione TCP, permetterebbe all’attaccante di verificare l’esistenza della connessione tra qualsiasi coppia di host e interferire nella comunicazione per bloccarla o inviare codice malevolo. Il tutto in tempi record.

Secondo quanto riportato dai ricercatori, nei loro test sono stati in grado di verificare l’esistenza di un collegamento TCP tra due qualsiasi computer in soli 10 secondi e gli sono bastati un’altra manciata di secondi per portare l’attacco.

Nella pratica, l’attacco prende di mira un collegamento tra un computer (client) e un server, seguendo due schemi: è possibile attaccare il server inviandogli pacchetti dall’indirizzo del client o viceversa. In entrambi i casi, secondo i dati riportati nella ricerca, le probabilità di successo dell’attacco variano tra l’88% e il 97%.

Il paradosso è che i computer client possono essere attaccati a causa di una vulnerabilità che non dipende da loro, ma dal server (per esempio quello che ospita un sito Web) che utilizza una versione di Linux vulnerabile all’exploit.

La falla, in realtà, è stata corretta con la versione 4.7 del kernel Linux rilasciata tre settimane fa, ma prima che questa sia implementata da tutti gli amministratori di sistema potrebbe volerci parecchio tempo. Questo significa che la stragrande maggioranza dei siti Internet sono vulnerabili e, considerata il livello medio di attenzione per gli aggiornamenti, rischiano di esserlo per molto.

Condividi l'articolo