top of page

Svelamento della Vulnerabilità CVE-2024-28085 nel Pacchetto util-linux di Linux

Immagine del redattore: Sergiu MariasSergiu Marias

Sono state divulgate informazioni riguardanti una falla di sicurezza nella funzione "wall" della suite util-linux, che potrebbe essere sfruttata da entità malevole per divulgare la password di un utente o manipolare il contenuto degli appunti su specifici sistemi Linux.

La vulnerabilità, identificata come CVE-2024-28085, è stata denominata WallEscape dal ricercatore di cybersecurity Skyler Ferrante. È caratterizzata da una pulizia inadeguata dei caratteri di escape.


Skyler Ferrante ha notato, "La funzione wall in util-linux non riesce a sanificare i caratteri di escape dall'input fornito tramite riga di comando, permettendo agli utenti senza privilegi di visualizzare qualsiasi testo sulle schermate del terminale di altri utenti, a condizione che l'impostazione mesg sia abilitata ('y') e wall possieda i permessi setgid."

Questa problematica ha origine da un aggiornamento del codice nell'agosto 2013.

Cybersecurity Lo scopo del comando "wall" è consentire la pubblicazione di messaggi sui terminali di tutti gli utenti attualmente connessi a un server, ciò è fondamentale per trasmettere annunci importanti a tutti gli utenti localmente (ad esempio, notifiche di uno spegnimento imminente del sistema).


Secondo il manuale per questo comando Linux, "wall viene utilizzato per mostrare un messaggio, il contenuto di un file o dati dal suo input standard sui terminali di tutti gli utenti attualmente connessi. Solo gli utenti root hanno la capacità di inviare messaggi sui terminali degli utenti che hanno scelto di rifiutare i messaggi o stanno utilizzando un programma che rifiuta automaticamente i messaggi."

CVE-2024-28085 manipola le sequenze di escape inserite tramite la riga di comando per ingannare gli utenti facendo vedere un falso prompt dei comandi superuser sui loro terminali, inducendoli a inserire le loro password.


Perché l'exploit abbia successo, devono essere soddisfatte due condizioni: l'utilità mesg, che gestisce la visualizzazione dei messaggi da altri utenti, deve essere attiva ('y'), e il comando wall deve avere impostati i permessi setgid.


Ubuntu 22.04 e Debian Bookworm sono vulnerabili a CVE-2024-28085 poiché soddisfano questi requisiti, mentre CentOS non lo è, a causa della mancanza dei permessi setgid nel comando wall.


"In Ubuntu 22.04, è possibile esporre la password di un utente per impostazione predefinita," ha spiegato Ferrante. "L'unico indizio dell'attacco alla vittima potrebbe essere un prompt di password errato al momento dell'inserimento corretto della loro password, con la loro password che appare quindi nella loro cronologia dei comandi."

Inoltre, sui sistemi che consentono l'invio di messaggi wall, un attaccante potrebbe potenzialmente modificare gli appunti di un utente attraverso sequenze di escape in alcuni terminali come Windows Terminal, ma non in GNOME Terminal.


Per affrontare questa vulnerabilità, gli utenti dovrebbero aggiornare alla versione 2.40 di util-linux.


Cybersecurity "[CVE-2024-28085] consente agli utenti senza privilegi di visualizzare qualsiasi testo sui terminali di altri, a condizione che mesg sia abilitato ('y') e wall sia setgid," affermano le note di rilascio. "Non tutte le distribuzioni sono colpite (ad esempio, CentOS, RHEL, Fedora non lo sono; il comando wall di Ubuntu e Debian è setgid con mesg abilitato per impostazione predefinita)."


Questo annuncio segue un'altra divulgazione del ricercatore di sicurezza notselwyn riguardo a una vulnerabilità di tipo use-after-free nel sottosistema netfilter del kernel Linux che potrebbe essere sfruttata per un'escalation di privilegi locale.

Assegnata l'identificativo CVE CVE-2024-1086 (con un punteggio CVSS di 7.8), questa falla deriva da un fallimento nella sanificazione degli verdetti di netfilter, consentendo a un aggressore locale di causare una condizione di denial-of-service (Do

S) o potenzialmente eseguire codice arbitrario. Questa problematica è stata risolta in un aggiornamento del codice effettuato il 24 gennaio 2024.

0 visualizzazioni0 commenti

Comentarios


UK London

MSCS Support Remote LTD 

21 , Highfield Avenue, London

 

ITALY Milan

Via Carso, Azzan San Paolo

Bergamo, BG 24052

Lithuania

​Konstitucijos ,
Vilnius, Vilnius pr. 9-55

+39 351 278 3541

+447442951820

​+370 634 31101

Iscriviti alla nostra Newsletter

Grazie per l'invio!

Seguici su:

  • Facebook
  • TikTok
  • Instagram

© 2023 di MSCS Supporto remoto

bottom of page