Quella che vi riporto oggi è una falla scoperta in questi giorni all’interno del kernel linux che permette ad utente non root, di eseguire comandi a suo piacimento come utente root. Si tratta quindi di una falla del tipo privilege escalation.
Per tranquillizzare quelli che avevano già in mente di andare in giro a saccheggiare negozi in preda al panico, dico solo che la falla (pare) sia sfruttabile solo da locale e non da remoto. Pare.
Come mai ci si è fallato il kernel? Il signor ZX2C4 ci fa sapere che questa falla è dovuta al fatto che a partire dalla versione 2.6.39 (quindi anche tutte quelle superiori) è stata rimossa una clausula #ifndef dal codice sorgente che si occupa della gestione di /proc/pid/mem che è un’interfaccia attraverso la quale possiamo leggere e scrivere direttamente nella memoria di un processo.
Il signore citato sopra ha creato un exploit, chiamato mempodipper, in grado di ottenere privilegi di root sfruttando appunto questa falla. Il codice sorgente dell’exploit lo potete trovare qua.
Ma ora vediamo come testare se il nostro kernel è affetto da questo bug.
Prima di tutto dovete scaricare il codice sorgente da qua. Ovviamente dovete fare copia e incolla dentro un file di testo che chiameremo
mempodipper.c
dopodichè è necessario compilarlo. Dicono che un’immagine valga più di mille parole e perciò
Come vedete con il comando ‘whoami’ guardo quale utente è loggato nella shell (ovviamente il mio), dopo lancio la compilazione del codice sorgente e lo eseguo. Come vedete in fondo, questo exploit mi permette di inserire comandi a piacimento, in pratica mi apre un’altra shell, e provando a riutilizzare il comando ‘whoami’, sorpresa!! L’utente non è più il mio ma root, il che significa che da li posso eseguire qualsiasi comando con privileggi massimi, e nessuno mi ha chiesto nessuna password.
Nel caso aveste ancora dubbi, questo è male.
Adesso non facciamo prendere dal panico, perchè se usate i vostri computer a casa, all’università o al lavoro e se li usate per farvi gli affaracci vostri, dubito che qualcuno venga a sfruttare questa falla.
Se invece gestite qualche server o avete qualche macchina (magari aziendale) condivisa da molte persone forse è il caso di correre ai ripari. Fidarsi è bene, non fidarsi è meglio, dicono.
La patch è già stata rilasciata, perciò se scaricare il codice sorgente del kernel direttamente dal sito ufficiale, vi basterà ricompilarlo per essere nuovamente al sicuro (o almeno fino alla prossima falla che salterà fuori), mentre invece se volete aspettare la vostra distribuzione so che ubuntu 11.10 è stato aggiornato oggi e quindi non è più soggetto a questa falla, mentre per altre distribuzioni non riesco a rintracciare informazioni a riguardo (se voi le avete, documentate, segnalatele nei commenti).
In ogni caso non facciamoci prendere dal panico. Rimanete nelle vostre case e non aprite la porta a nessuno. NESSUNO.
Pingback: Corretto il problema di privilege escalation nel kernel | Luca Ferrari