Qualys è un’azienda leader nelle soluzioni IT di sicurezza e compliance basate sul cloud. I suoi ricercatori sono sempre alla ricerca di vulnerabilità e, recentemente, hanno scoperto che in tutte le versioni del kernel Linux pubblicate dal 2014 fino a oggi (dalla 3.16 alla 5.13.x) è presente una pericolosa falla che può essere sfruttata da qualsiasi malintenzionato per ottenere i privilegi di root. Questa vulnerabilità riguarda tutte le principali distribuzioni GNU/Linux (Ubuntu, Debian, Fedora e altro) ed è potenzialmente molto diffusa. È stata ribattezzata “Sequoia” e il suo nome in codice è CVE-2021-33909.
Come viene sfruttato il bug dagli hacker
La vulnerabilità viene creata da un errore di conversione da size_t a int che può essere sfruttato da un hacker per prendere il controllo del sistema. Il problema nasce dalla struttura stessa dell’interfaccia del file system di Linux che presenta un’architettura a strati. Il file system, lo ricordiamo, è quella parte del sistema operativo che si occupa principalmente di memorizzare le informazioni su un determinato supporto di memoria definendone la struttura in base a cui vengono immagazzinati e gestiti i file. Nel kernel Linux, il livello dell’interfaccia utente è separato dal file system e dai driver che si occupano della memorizzazione dei dati. Il bug “Sequoia” è stato scovato proprio nel layer del file system implementato nel kernel Linux: grazie a una serie di “memory overrun” può essere sfruttato abilmente per far crashare il sistema. I ricercatori di Qualys, infatti, sono riusciti a sfruttare la vulnerabilità per ottenere i privilegi su diverse distribuzioni Ubuntu (dalla 20.04 fino alla 21.04) oltre a Debian 11 e Fedora 34 Workstation. Per creare questo memory overrun sono necessari 5GB di memoria: l’exploit per ragioni di sicurezza non è stato pubblicato, mentre sono già disponibili una serie di patch per risolvere la vulnerabilità CVE-2021-33909.