È ancora Linux il protagonista di una falla della sicurezza che poterebbe esporre gli utenti a gravi rischi, a fronte di “capacità minime” da parte degli attaccanti. La vulnerabilità in questione è stata soprannominata StackRot dal suo scopritore, il ricercatore di sicurezza Ruihan Li che ha pubblicato un lungo post su Github con le informazioni preliminari, a cui farà seguito l’exploit proof-of-concept (PoC) completo solo verso la fine di luglio.

Da notare che in conformità alle best practice, Li ha notificato la vulnerabilità il 15 giugno; sono state necessarie due settimane di lavoro per sviluppare e pubblicare una patch per tutti i kernel stabili di Linux (6.1.37, 6.3.11 e 6.4.1), che è disponibile dal 1 luglio.

Ufficialmente la falla è monitorata con la sigla CVE-2023-3269 e ha un punteggio CVSS di 7.8. Ruihan Li spiega che con un exploit ben riuscito è possibile sfruttare la vulnerabilità per compromettere il kernel e ottenere privilegi elevati. Il problema, infatti, influisce sul sottosistema di gestione della memoria del kernel, che è il componente deputato a implementare la memoria virtuale e la paginazione a richiesta, l'allocazione della memoria per le esigenze del kernel e dei programmi dello spazio utente, nonché la mappatura dei file nello spazio degli indirizzi dei processi. StackRot influisce su tutte le configurazioni del kernel nelle versioni di Linux dalla 6.1 alla 6.4.

Per i più tecnici, i dettagli di StackRot finora condivisi da Li sono pubblicati nel post ufficiale del ricercatore. Quello che preme sottolineare in questa sede sono due elementi. Il primo è che secondo il ricercatore la falla oggetto di questa notizia potrebbe essere il primo esempio di vulnerabilità UAFBR (use-after-free-by-a-RCU) teoricamente sfruttabile. I malware per Linux stanno crescendo in maniera preoccupante, il che indica una maggiore attenzione del cybercrime verso questo sistema operativo, che è il secondo elemento importante. Le notizie sulla scoperta di nuove vulnerabilità ricevono sempre maggiore attenzione e sono seguite da un lodevole impegno della community per lo sviluppo tempestivo di patch, che ovviamente devono essere installate con priorità.

Il motivo di tanto interesse è che Linux è alla base di macchine virtuali, dispositivi IoT e in generale di moltissimi siti web di primaria importanza: attaccare con successo un sistema Linux oggi può dare accesso sia alle reti aziendali che a quelle governative, esporre molti cloud pubblici e privati e fornire persino l’accesso a infrastrutture critiche. Per chi gestisce sistemi Linux sta diventando sempre più importante monitorare le notizie sulla sicurezza, installare gli update per la versione del kernel su cui gira la propria distribuzione Linux. Un dettaglio: il kernel Linux 6.1 è stato approvato come versione di supporto a lungo termine (LTS) da febbraio, quindi è importante scegliere una distribuzione Linux che lo adotti per avere meno problemi.