Gli argomenti del digest di questa settimana includono una race condition nel sottosistema Perf di Linux, un denial of service in BIND e un calcolatore di valutazione del rischio basato sulla metodologia di classificazione del rischio di OWASP.
Condizione di gara nel sottosistema Linux Perf
Il sottosistema Perf di Linux è un sottosistema basato sul kernel che fornisce un quadro per l'analisi e il monitoraggio delle prestazioni di hardware e software. È stato originariamente inserito nel kernel Linux nella versione 2.6.31 e dispone di un'utilità userspace (perf) che si interfaccia con il sottosistema kernel. Lo strumento perf dello spazio utente può registrare, contare e campionare gli eventi hardware (commutazioni di contesto e istruzioni eseguite dai registri della CPU) e gli eventi software (attraverso i contatori software e i tracepoint).
La vulnerabilità CVE-2022-1729 classificata come CWE-362 è una race condition nella syscall perf_event_open ed è stata scoperta da Norbert Slusarek. Secondo la pagina man, "Una chiamata a perf_event_open() crea un descrittore di file che consente di misurare le informazioni sulle prestazioni. Ogni descrittore di file corrisponde a un evento che viene misurato; questi possono essere raggruppati per misurare più eventi contemporaneamente".
La condizione di gara sembra essere presente fin dal kernel v4.0-rc1 e potrebbe portare all'escalation dei privilegi e all'esecuzione di codice arbitrario. La patch per questa vulnerabilità fa parte del ciclo di rilascio del kernel Linux 5.17.10-rc1.
Inoltre, un metodo di mitigazione di RedHat suggerisce di impostare la variabile kernel.perf_event_paranoid su '3' tramite sysctl, per impedire agli utenti non privilegiati di accedere al sottosistema Perf del kernel.
Negazione del servizio in BIND
La scorsa settimana l'ISC ha pubblicato un avviso di sicurezza per una vulnerabilità di gravità elevata che interessa le versioni di BIND dalla 9.18.0 alla 9.18.2 e la v9.19.0 del ramo di sviluppo 9.19. La vulnerabilità, originariamente scoperta da Thomas Amgarten, è sfruttabile in rete e ha un punteggio CVSS di 7,0. La vulnerabilità, originariamente scoperta da Thomas Amgarten, è sfruttabile attraverso una rete e l'ISC le ha assegnato un punteggio CVSS di 7.0.
Un exploit riuscito in determinate circostanze causa la terminazione del demone denominato con un fallimento dell'asserzione (con conseguente negazione del servizio) se una connessione TLS del client all'ascoltatore TLS http viene distrutta troppo presto. I sistemi vulnerabili sono costituiti da server BIND con DNS over HTTPS abilitato e che includono un riferimento ad http all'interno delle dichiarazioni listen-on nelle loro configurazioni denominate. Le configurazioni che utilizzano il solo DNS over TLS non sono affette da questa vulnerabilità, come indicato nell'advisory.
Al momento non si conoscono soluzioni, ma ISC ha consigliato di aggiornare rispettivamente alla v9.18.3 sul ramo stabile e alla v9.19.1 sul ramo di sviluppo per mitigare il problema.
Calcolatore della valutazione del rischio
Nel ciclo di vita della gestione delle vulnerabilità, è importante stimare l'impatto tecnico e commerciale associato alle nuove vulnerabilità che possono colpire l'infrastruttura di un'organizzazione.
Le metodologie di valutazione del rischio tengono conto di vari fattori, quali la probabilità di sfruttamento, il livello di abilità dell'avversario e la facilità di scoperta, per citarne alcuni.
Una di queste metodologie di OWASP calcola la gravità del rischio complessivo in base a questi fattori.
Un calcolatore di valutazione del rischio di Ivan Markovic, basato sulla metodologia di valutazione del rischio di OWASP, è disponibile come strumento open source. Il rischio è calcolato come:
Rischio = Probabilità * Impatto
Nella formula di cui sopra, la probabilità di sfruttamento dipende da un paio di fattori che tengono ulteriormente conto di considerazioni rilevanti:
- Agente minaccioso: livello di abilità, movente, opportunità e dimensioni degli attori della minaccia.
- Fattori di vulnerabilità: facilità di scoperta e sfruttamento, consapevolezza della vulnerabilità e rilevamento dell'exploit da parte di un sistema di rilevamento delle intrusioni.
Allo stesso modo, i fattori che influenzano l'impatto complessivo di una vulnerabilità includono:
- Fattori di impatto tecnico: perdita di riservatezza, integrità, disponibilità e responsabilità delle azioni dell'attore della minaccia.
- Fattori aziendali: danni finanziari e di reputazione, non conformità e violazioni della privacy.
Pertanto, il punteggio di rischio complessivo di una vulnerabilità consente ai proprietari di prendere una decisione informata e aiuta a stabilire la priorità delle patch.
Il codice sorgente del calcolatore è disponibile su github, mentre ulteriori dettagli sulla metodologia di valutazione del rischio di OWASP sono disponibili qui.
Commenti