SISTEMI OPERATIVI

Anche Linux è vulnerabile, non scordiamocelo mai

Linux, il popolare sistema operativo open source, è preso come modello di efficienza e prestazioni, ma occorre tenere a mente che annovera parecchie gravi vulnerabilità e queste vanno gestite senza pericolosi bias

26 Gen 2022
M
Riccardo Meggiato

Consulente in cyber security e informatica forense

Dati precisi non ce ne sono, ma tra una statistica e l’altra la percentuale di mercato occupata da sistemi Linux desktop oscilla tra un due e un tre percento. È focalizzandosi sul mercato server, tuttavia, che si scopre quanto Linux sia vitale nell’economia tecnologica mondiale: circa il 14%, tra tutti i server, utilizza Linux. Alzando ancora più il tiro, il sistema operativo open source tocca addirittura quota 96,3% se si va a guardare il primo milione di server più importanti al mondo. Senza considerare che dei primi 25 siti web più visitati al mondo solo 2 non usano Linux, e che tutti i 500 supercomputer più potenti al mondo montano questo sistema operativo.

Una questione di qualità

Non c’è da stupirsi, quindi, se si spendono spesso e volentieri proclami sull’importanza strategica di Linux. Un’importanza che prescinde dai numeri ed è legata, piuttosto, alla collocazione dei sistemi che adottano questo sistema operativo. Il successo di Linux nei sistemi critici, o comunque di alto livello, si deve alle sue caratteristiche peculiari, tra le quali spiccano le prestazioni, la stabilità e la sicurezza.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter

Linux vive in certi sistemi perché se lo merita, insomma, ma è tempo e ora di chiedersi se questa nomea sia tutt’ora giustificata o se non sia il caso di rimettere in discussione certi dogmi. Non si tratta certo di discutere del valore di Linux, quello è intoccabile e va tutelato, ma di prendere atto che il cyber crime, oggi più che mai, punta a sistemi critici e questi vanno protetti a prescindere dalle rispettive dotazioni tecnologiche. Insomma, il fatto che un server utilizzi Linux non lo mette automaticamente a un livello di sicurezza tale che si possa ignorare l’eventualità di attacchi anche gravi.

Linux è sempre più colpito

CrowdStrike, per esempio, ha rilevato che la quantità di malware che colpiscono sistemi Linux è aumentata del 35% dal 2020 al 2021. E le tre principali famiglie di malware Linux, vale a dire Mirai, Mozi e XorDDoS, sono responsabili del 22% delle infezioni di sistemi IoT basati su Linux. Trend Micro, dal canto suo, ha rilevato che solo nella prima metà del 2021 sono stati quasi 15 milioni gli eventi malware legati a sistemi cloud basati su Linux registrati dai suoi sistemi. In buona parte dovuti a cryptominer e ransomware (54% totali), ma anche a web-shell (29%).

Inoltre, analizzando nel medesimo periodo oltre 50 milioni di eventi, provenienti da un campione di 100.000 sistemi Linux, è emerso che sono state sfruttate principalmente 15 gravi vulnerabilità, di cui si conoscevano già le rispettive tecniche di exploiting, o che, addirittura, si reputavano sfruttabili solo a livello di Proof of Concept.

Guida al ransomware: cos’è, come si prende e come rimuoverlo

Linux ha le sue gravi vulnerabilità

Il concetto da tenere bene a mente, in un’ottica di protezione organica di un qualsiasi sistema informatico, è che anche Linux è un software e come tale contiene errori di programmazione e, in ultima battuta, vulnerabilità. Non si usa un periodo ipotetico per il semplice motivo che sicuramente anche Linux ha vulnerabilità e il fatto che sia un progetto open source mitiga solo in parte l’eventualità che queste possano essere gravi o sfruttabili.

Semplicemente, il codice da controllare è così tanto, e via via sempre più complesso, che il controllo di qualità non può individuare qualsiasi bug. E dire che questo possa accadere anche in ambiente Linux, a volte, può configurarsi come reato di lesa maestà. Nel 2021, giusto per fare un esempio, è stata scoperta una vulnerabilità, poi classificata come CVE-2021-3156, che consentiva a qualsiasi account, con una privilege escalation, di ottenere accesso alla root. Al di là della gravità intrinseca del bug, chiamato Baron Samedit, colpisce il fatto che al momento del disclosing avesse la bellezza di dieci anni. 

Vulnerabilità vecchie e nuove

Eppure, tra le vulnerabilità più sfruttate da cyber attacchi, nel 2021, se ne riscontrano alcune di molto gravi.

Per esempio il CVE-2021-29441, che vanta una severity di 9.8 e consente di bypassare un sistema di autenticazione. O il CVE-2020-25213, che colpisce il plugin di caricamento file di WordPress e consente di caricare codice arbitrario: anche in questo caso si parla di una severity di 9.8. La sempiterna vulnerabilità CVE-2017-5638 ha uno score di 10.0, colpisce Apache Struts nelle versioni precedenti alla 2.3.32 e alla 2.5.10.1 e si è classificata tra le 15 più micidiali anche del 2021.

Valutare senza bias

Significa forse che Linux non è quella miniera d’oro che tutti pensavamo essere in ambiente server? No, Linux è e rimane probabilmente il migliore sistema operativo per applicazioni di rete e di alto livello, ma non va considerato perfetto.

I dati, come visto, ci mostrano che in una strategia di difesa occorre considerare attaccabile ogni elemento, che per questo va analizzato nei suoi peculiari punti deboli. E inserito nella catena di assessment, fixing e monitoring progettata per la specifica infrastruttura, senza sconti o bias cognitivi che portino a procrastinare certe attività di controllo o a chiudere un occhio.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5