Nelle ultime due settimane Google è dovuta correre urgentemente ai ripari per due distinte e nuove vulnerabilità 0-day di Chrome (in realtà sono vulnerabilità presenti nel sorgente chromium). 

La prima vulnerabilità (pubblicata il 28 novembre sul National Vulnerability Database del NIST) è stata censita come CVE-2022-4135 con CVSS 9.6. Si tratta di una violazione dei limiti in scrittura della memoria del processo (CWE-787 – “Out-of-bounds Write”), comunemente nota come “buffer overflow dell’heap” nella componente GPU di Chrome. 

Questa vulnerabilità consentirebbe ad un malintenzionato, che abbia compromesso il processo di rendering, di eseguire una evasione dalla sandbox tramite una pagina HTML appositamente creata. 

Le conseguenze di un buffer overflow sono tipicamente l’arresto anomalo del software, ma anche la possibilità di porre il programma in un ciclo infinito: in ogni caso si raggiunge l’obiettivo di negazione del servizio (DoS), in questo caso negazione nell’uso del browser. Non è escluso che da un buffer overflow possano innescarsi meccanismi di esecuzione di codice arbitrario o evasione dai meccanismi di protezione esistenti, come nel caso descritto. 

Non è la prima volta che ne parliamo, non è la prima volta che accade: le vulnerabilità di sicurezza non invecchiano mai, ovvero l’opportunità di sfruttamento sembrano non finire mai, e non stupisce dunque che i ricercatori abbiano per una volta ancora segnalato l’allarme di sfruttamento di vulnerabilità molto vecchie. 

Questa volta si tratta di vulnerabilità relative ad un server Web non più sviluppato dal lontano 2005 e pertanto parliamo di vulnerabilità “forever day”. Queste vulnerabilità sono un cavallo di battaglia noto nel panorama, in quanto si tratta vulnerabilità appartenenti ad un software sì abbandonato, ma impiantato in differenti dispositivi IoT che lo portano ancora a bordo, procurandosi in questo modo un alto rischio. 

Gruppi hacking cinesi (sponsorizzati dallo Stato: si parla di RedEcho) hanno condotto differenti campagne già in passato (con differenti vettori di attacco), e ora le ripetono, contro operatori del settore energetico indiano e anche altre organizzazioni strategiche, proprio a partire da questa debolezza nel mondo dei dispositivi IoT. Microsoft segnala lo sfruttamento delle vulnerabilità proprio di quel server Web Boa che dicevamo interrotto nel 2005: questo è componente IoT per l’accesso alla console di gestione dei dispositivi e le sue vulnerabilità aumentano in modo significativo il rischio per questi sistemi quando esposti su Internet. 

La presenza in un sistema di molteplici vulnerabilità consente agli aggressori di combinare le differenti proprietà dei difetti insite in esse, in una amplificazione delle capacità offensive: si dice concatenare le vulnerabilità 

È quanto è stato scoperto nel sistema Cisco Identity Services Engine, il servizio di identità su cui è possibile basare un sistema di controllo dell’accesso alla rete (NAC) con cui è possibile controllare l’accesso degli endpoint alla rete e gestire gli stessi dispositivi di rete. 

Colpire questo servizio è colpire al cuore la sicurezza di una rete. 

Sono state rinvenute ben 4 vulnerabilità di differente gravità, anche con possibilità di concatenazione (con una quinta già nota) per rafforzarne la potenza detonante, in particolare l’esecuzione di comandi arbitrari, l’aggirare protezioni di sicurezza ed eseguire attacchi XSS (cross-site scripting). 

Ma andiamo con ordine. 

Con l’aggiornamento 12.4 per sistema macOS Monterey di maggio (https://support.apple.com/en-us/HT213257), Apple ha messo al sicuro i suoi sistemi da un importante difetto di sicurezza già noto un anno fa e sanato solo con tale aggiornamento. 

Il tempo ora è sufficientemente maturo, se, come auspicabile, tutti gli utenti Apple hanno disposto l’aggiornamento dei loro sistemi, perché si parli pubblicamente del difetto e soprattutto del meccanismo di sfruttamento che ne è alla base, arrivando alla pubblicazione di un PoC del codice di prova per lo sfruttamento. 

Stiamo parlando della vulnerabilità CVE-2022-26696 dell’applicazione Terminal.app, un difetto grave (CVSS 7.8) che consente di aggirare il sistema di sandbox imposto alle applicazioni dal sistema operativo macOS. Apple accredita rispetto alla vulnerabilità i ricercatori Ron Waisberg (già scopritore della vulnerabilità CVE-2021-30677 sul superamento del sandboxing via LaunchServices) e Wojciech Reguła: ed è proprio quest’ultimo a pubblicare dettagli importanti sulla questione, non risparmiando un po’ di polemica sul ritardo. 

Un problema al sandbox era stato già visto e segnalato da Regola infatti nel lontano 2020, problema che forniva la possibilità da parte di una applicazione in sandbox di avviare una applicazione priva dell’eredità