Stack Clash: vulnerabilità nella gestione della memoria sui sistemi *NIX

Il team di Qualys (società che si occupa di sicurezza per le aziende) ha (ri)scoperto una vulnerabilità presente su Linux, gia’ conosciuta dal 2005, ricomparsa nel 2010, patchata e ricomparsa nuovamente qualche giorno fa: Stack Clash (CVE-2017-1000364 per il kernel, CVE-2017-1000366 per le glibc).

Questo problema coinvolge gli stack di memoria ovvero aree in cui viene eseguito il codice; più un programma cresce, più lo stack aumenta. Il problema sorge quando lo stack si espande troppo e arriva ad essere molto vicino ad un altro stack di memoria. A questo punto i ricercatori Qualys hanno dimostrato come del codice malevolo potrebbe passare da uno stack all’altro, in un’area di memoria occupata da un’applicazione legittima, che utilizza i privilegi di root.

Stack Clash sfrutta l’EoP (Elevation of Privilege) per prendere controllo del sistema, cosa che solitamente richiede che l’utente malevolo sia già presente in qualche modo nel sistema.

Questa vulnerabilità è presente su innumerevoli sistemi tra cui svariate versioni di BSD e Solaris. Stack Clash è stato testato solo su piattaforme i386 e amd64 per il momento, ma non si esclude che possa essere presente anche altrove.

Sono state prontamente rilasciate delle patch per le maggiori distribuzioni, cosi come un workaround, in attesa di fix più appropriati, che utilizza RLIMIT_STACK e RLIMIT_AS.

Anche se al momento Stack Clash e’ un exploit locale, non si esclude che in futuro possa essere sfruttato diversamente, anche da remoto dunque non aspettate e patchate quanto prima!

Sysadmin | Website

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un'opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l'ho scritto io.

Tags: , , ,