WallEscape ruba le tue password!

Skyler Ferrante, un ricercatore di sicurezza, ha scoperto una vulnerabilità all’interno del comando wall, denominata WallEscape, che ha suscitato gravi preoccupazioni a causa dei potenziali rischi ad essa associati. Identificato con il codice CVE-2024-28085, il problema consente a un attaccante privo di specifici privilegi di rubare password o modificare gli appunti della vittima, sfruttando una falla presente in tutte le versioni del pacchetto degli ultimi 11 anni, fino alla recente release 2.40.

Per fortuna, l’exploit è circoscritto a scenari specifici. In particolare, l’attacco richiede l’accesso a un server Linux utilizzato simultaneamente da più utenti tramite un terminale, una situazione comune in contesti accademici dove gli studenti si collegano per completare assegnazioni. Perché l’exploit abbia successo sono però necessarie determinate condizioni: la utility work deve essere attiva e il comando wall deve avere i permessi setguide. Questi requisiti sono soddisfatti su distribuzioni come Ubuntu 22.04 LTS (Jammy Jellyfish) e Debian 12.5 (Bookworm), ma non su CentOS, evidenziando una variabilità nella vulnerabilità a seconda della piattaforma utilizzata.

Ferrante ha descritto WallEscape come una problematica legata alla “neutralizzazione impropria di sequenze di escape nel comando wall”. L’exploit sfrutta il fatto che le sequenze di escape non vengono filtrate adeguatamente durante l’elaborazione degli input attraverso argomenti da linea di comando. Di conseguenza, un utente senza privilegi poteva utilizzare caratteri di controllo di escape per generare un falso prompt di SUDO sui terminali degli altri utenti, indirizzandoli così a inserire la password dell’amministratore.

Scenari di exploit

Un caso di attacco delineato da Ferrante coinvolgeva la creazione di un falso prompt di SUDO nel terminale Gnome, con l’intento di indurre l’utente a inserire la propria password di amministratore. L’attacco richiedeva una particolare attenzione nella sua preparazione, sfruttando il comando wall per inviare modifiche all’input del terminale allo script bersaglio. Queste modifiche includevano il cambiamento del colore del testo e l’occultamento dei tasti, rendendo la falsa richiesta di password più convincente. Il codice di prova è reperibile a questo indirizzo.

Dopo aver ottenuto la password, l’attaccante poteva verificarla accedendo al file /proc/$pid/cmdline, visibile anche agli utenti non privilegiati su molte distribuzioni Linux. Un altro metodo di attacco coinvolgeva la modifica degli appunti dell’utente bersaglio tramite sequenze di escape. Tuttavia, questo approccio non risultava efficace con tutti gli emulatori di terminale, compresi quelli di Gnome.
Così Ferrante ha descritto il funzionamento degli scenari di exploit: l’utilizzo di WallEscape richiede un accesso locale al sistema (sia fisicamente che tramite SSH), il che ne riduce la portata. Tuttavia, il rischio rimane significativo per gli utenti non privilegiati che condividono il sistema con la vittima, soprattutto in contesti istituzionali o aziendali.

Come proteggersi

Per correggere la vulnerabilità, occorre effettuare un aggiornamento alla versione 2.40 di linux-utils. Gli amministratori di sistema possono mitigare il rischio di CVE-2024-28085 rimuovendo i permessi setguide dal comando wall o disattivando la funzionalità di broadcast dei messaggi utilizzando il comando mesg per impostare il suo flag su “n”.

*illustrazione articolo progettata da  Freepik