La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha ordinato alle agenzie federali di proteggere i loro sistemi da una vulnerabilità, Looney Tunables, attivamente sfruttata che permette agli aggressori di ottenere privilegi di root su molte principali distribuzioni Linux. La vulnerabilità, soprannominata “Looney Tunables” dall’unità di ricerca sulle minacce di Qualys (che ha scoperto il bug) e tracciata come CVE-2023-4911, è dovuta a una debolezza di overflow del buffer nella libreria GNU C, ld.so dynamic loader.
Impatto e urgenza della Patch
Questa falla di sicurezza impatta i sistemi che eseguono le ultime versioni di piattaforme Linux ampiamente utilizzate, tra cui Fedora, Ubuntu e Debian, nelle loro configurazioni predefinite. Gli amministratori sono esortati a patchare i loro sistemi il prima possibile, dato che la vulnerabilità è ora attivamente sfruttata e sono stati rilasciati online diversi exploit proof-of-concept (PoC) dalla sua divulgazione all’inizio di ottobre.
Direttive CISA e rischi per le Agenzie Federali
CISA ha anche aggiunto la falla di Linux attivamente sfruttata al suo Catalogo delle Vulnerabilità Note Sfruttate, includendola nella sua lista di “vettori di attacco frequenti per attori cyber malintenzionati” e rappresentando “rischi significativi per l’ente federale”. In seguito alla sua inclusione nella lista KEV di CISA, le Agenzie Esecutive Civili Federali degli Stati Uniti (FCEB) devono patchare i dispositivi Linux nelle loro reti entro il 12 dicembre, come stabilito da una direttiva operativa vincolante (BOD 22-01) emessa un anno fa.
Consigli per tutte le aziende
Sebbene la BOD 22-01 si rivolga principalmente alle agenzie federali degli Stati Uniti, CISA ha anche consigliato a tutte le organizzazioni (incluse le aziende private) di dare priorità alla patch della vulnerabilità di sicurezza “Looney Tunables” immediatamente.