Vi siete ripresi dalla notizia della scorsa settimana relativa a Looney Tunables, la nuova vulnerabilità della glibc, ed agli exploit che sono stati pubblicati? Bene, perché ci sono già ben tre vicende nuove e diverse in merito alla sicurezza su Linux che dobbiamo riportare.

La prima, e se vogliamo la più grave, riguarda Exim, l’MTA (Mail Transfer Agent) default delle distribuzioni Debian Like fino alla versione 3.0, Stretch (rilasciata nel 2017). L’interruzione di Exim (a favore di Postfix) fu una decisione presa dalla comunità Debian per migliorare la sicurezza e le prestazioni del sistema di posta predefinito, ma ciò non toglie come ancora oggi si stimino circa 3,5 milioni di istanze Exim esposte su internet, e duecentocinquantamila sarebbero impattate dal problema.

Tutte queste sono afflitte da una serie di vulnerabilità (in tutto sei, come spiega Bleeping Computer) che fanno capo alla CVE-2023-42115, spiegata ed esposta dalla Zero Day Initiative in questo articolo. La vulnerabilità è stata scoperta e rivelata al progetto Exim lo scorso giugno e pubblicata lo scorso 27 settembre in accordo con le parti. Le condizioni affinché la vulnerabilità possa essere sfruttata non sono semplici (è necessario che l’istanza di Exim utilizzi l’external authentication), ma una volta che lo sono di fatto comportano rischi importanti come l’esecuzione di codice arbitrario sul sistema attaccato.

Il consiglio? Sempre quello: tenere aggiornati i pacchetti su cui gli sviluppatori di Exim hanno già applicato le soluzione di tre delle sei vulnerabilità.

Ma se gli utenti Exim (e quindi verosimilmente Debian) devono stare allerta, anche quelli Ubuntu è bene facciano attenzione all’annuncio apparso sul forum Snapcraft di Canonical nel quale si annuncia la sospensione degli upload di nuove applicazioni per via di un non ben specificato problema di sicurezza. Va sottolineato come non sia la prima volta che lo Snap Store ha problemi con la qualità delle applicazioni caricate. Già nel 2018 un’applicazione dall’aspetto innocuo nascondeva funzionalità di crypto mining all’insaputa degli utenti (da notare che se queste funzionalità vengono dichiarate nella descrizione dell’app Canonical accetta che risiedano sullo store) mentre in questo caso l’applicazione incriminata si spaccia per un tool ufficiale per lo strumento di contabilità crittografica Ledger, ma in realtà ottiene codici di backup delle persone (che le persone inseriscono pensando che siano legittimi) e li sfrutta per fare mining.

Mica male eh?

E cosa dire poi della precisazione pubblicata sul sito di Thunderbird, in un articolo dal titolo più che eloquente: Ransomware Alert: Are You Using A Trusted Version Of Thunderbird?. Pare infatti che recentemente si stiano diffondendo versioni contraffatte di Thunderbird che in realtà contengono ransomware, come spiega questo articolo di krebsonsecurity.com nel quale oltre a Thunderbird vengono citati anche Teams, Adobe Reader e Discord.

Insomma, tra vulnerabilità, store inaffidabili ed applicazioni contraffatte c’è davvero bisogno di dirlo? Occhi aperti!

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.