Gli argomenti del bollettino di sicurezza di questa settimana includono:
- una condizione di gara nel sottosistema di memoria del kernel Linux;
- una vulnerabilità di path traversal nel software UnRAR che porta a un giorno zero in Zimbra; e
- scoperta di un bug architettonico nelle CPU di Intel.
Vulnerabilità del kernel Linux - CVE-2022-2590
David Hildenbrand di Red Hat - con la partecipazione di Amit Nadav di VMware - ha recentemente scoperto una vulnerabilità nelle versioni del kernel Linux 5.16 o successive, che potrebbe portare un avversario a modificare il contenuto dei file di memoria condivisa (shmem/tmpfs). Denominata "Dirty COW vulnerability restricted to tmpfs/shmem", la falla(CVE-2022-2590) può consentire a un utente locale autenticato di aumentare i propri privilegi sul sistema sfruttando una race condition nel meccanismo copy-on-write del sottosistema di gestione della memoria di Linux. Sono interessate le piattaforme x86-64 e aarch64.
Copy-on-write è una strategia di gestione delle risorse implementata in vari sistemi, come database, filesystem e sistemi operativi. Una spiegazione semplificata è che se diversi processi accedono alla stessa risorsa/oggetto in memoria e un processo tenta di scrivere sulla risorsa condivisa, si verifica un page fault e il kernel crea una nuova copia privata della risorsa per il processo che scrive. In questo modo si evita la corruzione dei dati e che qualsiasi scrittura sulla risorsa condivisa diventi visibile ad altri processi. L'effetto di questa vulnerabilità sembra essere limitato al filesystem tmpfs, che è più comunemente usato per montare le directory /tmp, /var/lock, /var/run e /dev/shm.
Un prerequisito per lo sfruttamento è che il kernel sia compilato con CONFIG_USERFAULTFD=y, che consente ai processi dello spazio utente di gestire i page fault tramite la chiamata di sistema userfaultfd.
Maggiori informazioni sono disponibili nella patch del commit upstream.
Vulnerabilità di attraversamento dei percorsi in UnRAR
Simon Scannell, ricercatore di SonarSource, ha scoperto a fine giugno una vulnerabilità di attraversamento dei percorsi nelle versioni Unix/Linux del software UnRAR. La vulnerabilità, classificata come CVE-2022-30333, è sfruttabile quando un utente o un servizio tenta di estrarre un archivio RAR creato male, portando alla creazione di file al di fuori della cartella di estrazione di destinazione.
Zimbra è un popolare software collaborativo e una piattaforma di posta elettronica disponibile per Linux. Fa parte di una campagna di attacchi zero-day in corso che sfrutta installazioni di UnRAR non patchate sul server. Ciò ha spinto l'agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) ad aggiungere la falla di UnRAR al suo catalogo delle vulnerabilità sfruttate.
Secondo il blog di SonarSource, un attore di minacce può inviare un'e-mail contenente un allegato .rar dannoso a un'istanza Zimbra; l'e-mail passa attraverso il servizio Amavis, che è responsabile dell'analisi e del controllo del messaggio in arrivo. Il servizio può anche estrarre gli allegati delle e-mail per verificarne la presenza di spam o malware, senza richiedere l'interazione dell'utente. Poiché Amavis si basa su UnRAR per estrarre qualsiasi allegato .rar, un utente malintenzionato può rilasciare file arbitrari su un sistema di destinazione o ottenere l'esecuzione di codice remoto sfruttando la vulnerabilità di UnRAR per compromettere un'istanza Zimbra.
La vulnerabilità di UnRAR è stata risolta da RarLab nella versione 6.1.7 del codice sorgente ed è stata corretta nella versione 6.12. Zimbra ha mitigato la falla negli ultimi aggiornamenti dei suoi servizi e della sua piattaforma.
ÆPIC Leak, un bug architetturale nelle CPU Intel
Un bug architetturale che colpisce le CPU Intel di decima, undicesima e dodicesima generazione è stato scoperto congiuntamente da ricercatori della Sapienza Università di Roma, della Graz University of Technology, di Amazon Web Services e del CISPA Helmholtz Center for Information Security. La falla si trova nel componente della CPU Advanced Programmable Interrupt Controller (APIC), responsabile dell'accettazione, della prioritizzazione e dell'invio degli interrupt ai core del processore. Uno sfruttamento riuscito richiede privilegi di amministratore o di root per l'APIC MMIO e potrebbe portare alla divulgazione di informazioni sensibili dal processore.
Come si legge sul sito web di ÆPIC Leak, questo bug si differenzia dalle vulnerabilità Meltdown e Spectre in quanto i dati sensibili possono essere divulgati senza ricorrere ad attacchi side channel. Inoltre, ai carichi di lavoro cloud non è concesso l'accesso diretto all'Advanced Programmable Interrupt Controller dell'hardware sottostante da parte degli hypervisor, quindi il rischio che la vulnerabilità venga sfruttata da una macchina virtuale cloud è attenuato.
Intel ha rilasciato un avviso di sicurezza per il bug e gli aggiornamenti del firmware per risolvere questa vulnerabilità.
Vulnerabilità di tendenza questa settimana
- CVE-2022-27925: Attraversamento di directory in Zimbra Collaboration
- CVE-2022-37042: potenziale attraversamento di directory ed esecuzione di codice remoto in Zimbra Collaboration suite
- CVE-2022-32893: Esecuzione di codice arbitrario in Safari
- CVE-2022-28756: Escalation dei privilegi locali in Zoom Client for Meetings per macOS
- CVE-2022-30190: Microsoft Windows Support Diagnostic Tool (MSDT) Vulnerabilità di esecuzione di codice remoto.
Commenti