I ricercatori della Threat Research Unit di Qualys hanno sollevato l’allarme individuando quattro nuove vulnerabilità critiche nella libreria principale di Linux, GNU C o glibc. Di particolare preoccupazione è una di queste, che apre la porta agli attaccanti per ottenere i privilegi di root.
La libreria glibc (GNU Library C) riveste un ruolo fondamentale in ogni sistema basato su Linux, fungendo da ponte cruciale tra le applicazioni e il kernel Linux. L’emergere di queste vulnerabilità rappresenta una minaccia significativa, considerando la sua centralità e le implicazioni in termini di sicurezza.
Le falle individuate nelle funzioni syslog e qsort di glibc mettono in evidenza una realtà critica della sicurezza del software: nemmeno i componenti più essenziali e attendibili sono immune da difetti. Le ramificazioni di queste vulnerabilità si estendono oltre i singoli sistemi, minacciando numerose applicazioni e potenzialmente milioni di utenti in tutto il mondo.
La prima vulnerabilità, identificata come CVE-2023-6246, risiede nella funzione vsyslog_internal della libreria, coinvolgendo le funzioni syslog() e vsyslog(), utilizzate per inviare messaggi al logger di sistema. Questo buffer overflow basato su heap, introdotto accidentalmente nella versione 2.37 di glibc, consente un’escalation locale dei privilegi, aprendo la strada affinché qualsiasi utente possa ottenere i permessi di root.
I ricercatori hanno confermato che il bug coinvolge le principali distribuzioni Linux, inclusi Debian (versioni 12 e 13), Ubuntu (versioni 23.04 e 23.10) e Fedora (versioni dalla 37 alla 39). Il team di Qualys sottolinea l’ampio impatto potenziale di questa vulnerabilità, nonostante richieda condizioni specifiche per essere sfruttata, e richiama alla memoria un simile problema riscontrato nel dicembre 1997 in una vecchia versione di Linux libc.
In precedenza, il 6 ottobre, la stessa unità di ricerca di Qualys aveva scoperto un’altra vulnerabilità di glibc che consentiva l’accesso root, coinvolgendo la gestione della variabile GLIBC_TUNABLES utilizzata per definire parametri di performance e comportamento del sistema all’avvio. Inoltre, le analisi successive hanno rivelato altre due vulnerabilità: CVE-2023-6779, un buffer overflow basato su heap off-by-one nella funzione vsyslog_internal, e CVE-2023-6790, un problema di overflow intero che colpisce nuovamente la stessa funzione. Anche se più complesse da sfruttare rispetto alla prima, queste vulnerabilità non vanno sottovalutate. Infine, il team di Qualys ha individuato una quarta vulnerabilità riguardante la funzione qsort di glibc, quando utilizzata con una funzione di comparazione non transitiva, consentendo agli attaccanti di causare il crash del sistema.
