L’uso del kernel Linux nell’implementazione di differenti soluzioni hardware non è una novità, anzi è ormai una consuetudine che avvantaggia i produttori nell’abbattere i costi di sviluppo del software di base delle loro soluzioni.
Ovviamente questo allarga la platea degli utilizzatori di Linux “a loro insaputa” (più o meno): i dispositivi Android, ad esempio, sono una di queste soluzioni, ma anche i prodotti per lo storage di massa come il blasonato marchio QNAP, così come tanti altri prodotti IoT. Non c’è da stare tranquilli quindi quando si disponga di queste soluzioni, in quanto il ciclo di aggiornamenti differisce (a volte anche fortemente) con i rilasci correttivi che avvengono a livello di sviluppo del Kernel (in mano a Torvalds): i motivi sono di semplice packaging e distribuzione, o nei casi più estremi, di obsolescenza del prodotto che non prevede quindi ulteriori aggiornamenti dalla casa madre.
D’altronde c’è da considerare, nella valutazione del rischio, anche l’ampia platea di implementazioni software che si basano su tecnologia Linux, come moltissimi servizi Web su Internet e soprattutto molti servizi cloud.
Quindi, quando Linux ha un problema, molti hanno un problema.
L’ultimo che è saltato fuori nel panorama Linux è la vulnerabilità a livello kernel denominata “Dirty Pipe” (per il coinvolgimento del sistema di comunicazione inter processo dei sistemi Unix in questa vulnerabilità) e censita con CVE-2022-0847 (con un base score 7.8, quindi considerata molto seria). Questo difetto può consentire ad un utente non privilegiato di ottenere privilegi superiori nel seguente modo: creando una pipe su cui ha permessi di scrittura, l’attaccante, confondendo il kernel, fa credere a questo che la pipe in questione sia invece un file su cui in effetti non avrebbe permessi di scrittura, ed in questo modo ottenendoli. Questo può naturalmente aumentare i privilegi dell’attaccante sul sistema.
Le versioni kernel interessate sono le successive alla 5.8, quindi sono esenti le precedenti. In particolare il difetto è stato già corretto nelle versioni 5.16.11, 5.15.25 e 5.10.102 che
Mentre il mondo dell’hacking underground si riposiziona nel campo delle minacce persistenti per via di spinte nazionaliste che soffiano su di loro a seguito degli accadimenti ucraini e ne infiammano strategie e motivazioni, altre minacce non mutano la loro presenza e aggressività.
È il caso della botnet Qakbot, il trojan bancario visto per la prima volta nel 2007 e divenuto ben presto uno dei più diffusi. Oggi, se possibile, ha aumentato la sua pericolosità, prendendo questa volta di mira thread di posta elettronica per distribuire DLL dannose con lo scopo di potenziare la botnet principale con i nuovi zombie aggiunti.
Questa volta l’attacco, analizzato dai ricercatori di Sophos, parte dal dirottamento dei messaggi di una discussione di posta elettronica grazie ad errate risposte alla stessa, messaggi dannosi che includono una breve frase e un collegamento (nella ultima campagna l’URL presentava frasi latine, considerato così un IoC della minaccia) per scaricare un file zip contenente un foglio di calcolo Excel dannoso. Il messaggio è lì per stimolare la vittima ad “abilitare il contenuto”, in quanto, è situazione comune, altrimenti le macro nel foglio di calcolo non verrebbero attivate. Ma come sappiamo, quello che non dovrebbe essere fatto verrà fatto.
Così inizia la catena delle infezioni, ed il primo payload inizia a raccogliere da subito una ampia gamma di informazioni sul profilo delle macchine infette, compreso account utente e autorizzazioni, software istallati, servizi in esecuzione e altro.
Finito il gathering, sempre il payload scarica dalle C2, per accrescere la potenza di fuoco, altri moduli malevoli (almeno tre). Questi vengono iniettati nel browser come DLL per differenti finalità: uno per il furto delle password nelle pagine del web, uno per la scansione della rete (e raccogliere informazioni sulle macchine nel perimetro), e l’ultimo per identificare i server di posta elettronica SMTP e provarne la connessione, con il conseguente invio di spam.
La struttura Qakbot è stata sempre modulare, e, sul cuore principale dedito al furto di credenziali e altre informazioni, da sempre ha acquisito tante altre funzionalità: spiare operazioni finanziarie, diffondere e