Vulnerabilità critica nel kernel XNU di Apple: CVE-2025-24118
La sicurezza informatica dei sistemi operativi Apple è spesso considerata tra le più solide del settore, ma anche i colossi non sono immuni da falle critiche. Nel gennaio 2025 è stata scoperta una vulnerabilità di gravità critica nel kernel XNU di Apple, identificata come CVE-2025-24118. Questa falla, basata su una race condition nelle routine di gestione della memoria del kernel, ha messo a rischio milioni di dispositivi macOS (Sonoma, Sequoia) e iPadOS, consentendo a un attaccante locale di ottenere i massimi privilegi sul sistema.
Cos’è la vulnerabilità CVE-2025-24118
CVE-2025-24118 è una vulnerabilità che sfrutta una race condition all’interno del kernel XNU, nucleo fondamentale di molti sistemi operativi Apple. In particolare, la falla si manifesta durante le operazioni di aggiornamento sulle credenziali dei processi, memorizzate in strutture di sola lettura. Il kernel, non gestendo in modo atomico certe operazioni sulle credenziali (ad esempio il campo ucred), permette a un utente locale non privilegiato di manipolare tempisticamente queste operazioni e accedere a memoria critica del sistema.
La race condition nasce a causa di una sincronizzazione inadeguata tra i thread che gestiscono le strutture delle credenziali, in particolare quando vengono utilizzate funzioni come zalloc_ro_mut per aggiornare i puntatori. Se più processi tentano di modificare queste strutture quasi simultaneamente, la mancanza di meccanismi di locking o sincronizzazione può portare a scritture non sicure, corruzione di memoria o, nel peggiore dei casi, esecuzione arbitraria di codice a livello kernel.
Impatti della vulnerabilità
L’impatto di CVE-2025-24118 è catalogato come critico, con un punteggio CVSS di 9.8. Un attaccante che riesca a sfruttare questa falla può:
- Ottenere privilegi di root o esecuzione in modalità kernel;
- Eseguire codice dannoso con i massimi privilegi;
- Corrompere la memoria del kernel, causando crash di sistema o instabilità;
- Compromettere la sicurezza di ambienti condivisi o aziendali, impattando dati sensibili e infrastrutture.
Nei contesti enterprise, dove molti utenti condividono risorse e servizi, il rischio di escalation di privilegi si traduce in potenziali compromissioni a catena, con accesso a informazioni riservate e possibilità di installare rootkit difficili da rilevare e rimuovere.
Analisi tecnica
Il kernel XNU integra componenti dei kernel Mach e BSD, gestendo, tra le altre cose, la memoria, i processi e la sincronizzazione delle risorse. La vulnerabilità sfrutta proprio la complessità dei meccanismi di memory management, in particolare quelli coinvolti nel safe memory reclamation (SMR), nella gestione delle credenziali per thread e nella mappatura delle pagine di memoria in sola lettura.
Durante un attacco, un malintenzionato può orchestrare una sequenza di chiamate di sistema da diversi processi per cercare di accedere e modificare, nel breve intervallo in cui il kernel aggiorna i puntatori delle credenziali, dati normalmente protetti. La mancanza di atomicità nelle funzioni di aggiornamento porta così a una finestra di vulnerabilità sfruttabile.
Gli attacchi race condition di questo tipo sono particolarmente insidiosi perché richiedono precisione temporale, ma sono facilitati dall’uso di script automatici e strumenti che aumentano la probabilità di successo, specie su sistemi con molti processi concorrenti.
Sistemi e versioni vulnerabili
Sono risultati vulnerabili:
- macOS Sonoma (versioni precedenti alla 14.7.3)
- macOS Sequoia (versioni precedenti alla 15.3)
- iPadOS (versioni precedenti alla 17.7.4)
Per quanto riguarda la diffusione, tutte le architetture hardware supportate dalle versioni sopra elencate sono a rischio, indipendentemente da processore Intel o Apple Silicon.
Patch e mitigazione
Apple ha rilasciato una patch nel gennaio 2025 che risolve il problema tramite una gestione migliorata della memoria e l’implementazione di sincronizzazioni più rigorose durante l’aggiornamento delle strutture delle credenziali. Gli utenti e gli amministratori sono fortemente invitati ad aggiornare immediatamente i propri sistemi alle versioni sicure:
- macOS Sonoma 14.7.3 o superiore
- macOS Sequoia 15.3 o superiore
- iPadOS 17.7.4 o superiore
Gli aggiornamenti includono anche altre correzioni di sicurezza, motivo in più per applicarli con priorità massima.
Suggerimenti e best practice per la sicurezza
Oltre all’aggiornamento del sistema, è consigliabile adottare una serie di strategie preventive per rafforzare la sicurezza, soprattutto in contesti aziendali:
- Aggiornamenti automatici: abilitare sempre gli aggiornamenti automatici del sistema e delle applicazioni critiche, per ridurre al massimo la finestra di esposizione a nuove vulnerabilità.
- Principio del minimo privilegio: configurare gli account utente in modo che dispongano solo dei privilegi strettamente necessari. Limitare gli accessi root o amministrativi.
- Hardening del sistema: disabilitare servizi o componenti non utilizzati, limitare l’installazione di software di terze parti e utilizzare strumenti di controllo dell’integrità del sistema.
- Monitoraggio costante: implementare sistemi di monitoraggio degli eventi di sicurezza (SIEM), analizzare periodicamente i log di sistema per individuare attività anomale.
- Segmentazione della rete: isolare segmenti di rete sensibili e limitare la possibilità di movimento laterale tra macchine tramite firewall e regole di accesso rigorose.
- Educazione degli utenti: formare il personale su best practice di sicurezza, rischi legati all’utilizzo di software non autorizzato e corrette procedure per la segnalazione di incidenti.
Considerazioni per le aziende
Le organizzazioni che gestiscono fleet di dispositivi Apple devono integrare nel proprio piano di gestione degli asset una verifica regolare della compliance rispetto alle ultime patch di sicurezza. L’uso di strumenti di Mobile Device Management (MDM) consente di applicare rapidamente aggiornamenti, impostare policy restrittive e monitorare lo stato di sicurezza dei dispositivi.
Inoltre, si raccomanda la segmentazione degli accessi alle risorse più critiche e l’adozione di soluzioni di Endpoint Detection and Response (EDR) compatibili con sistemi macOS, per una migliore visibilità sulle minacce avanzate e una risposta tempestiva agli incidenti.
Cosa fare se non è possibile aggiornare subito
Nel caso in cui, per necessità operative, non sia possibile aggiornare immediatamente tutti i dispositivi, adottare almeno queste contromisure temporanee:
- Ridurre al minimo l’uso di applicazioni non ufficiali o installer di terze parti.
- Limitare l’accesso fisico e remoto ai sistemi vulnerabili agli utenti strettamente autorizzati.
- Monitorare la presenza di processi anomali o tentativi di sfruttamento di race condition tramite software di sicurezza e strumenti di analisi comportamentale.
Conclusioni
La vulnerabilità CVE-2025-24118 mette in luce come anche sistemi ritenuti robusti siano soggetti a rischi legati alle complessità delle architetture moderne. La tempestività nell’applicazione delle patch, unita a solide pratiche di sicurezza, è fondamentale per ridurre l’esposizione agli attacchi e proteggere dati e infrastrutture critiche. Mantenersi informati e aggiornati sulle minacce emergenti è la miglior difesa in un panorama dove le cyber-minacce evolvono rapidamente.
Ricordare sempre: la sicurezza non è solo una questione di tecnologia, ma anche di processi, formazione e vigilanza costante.
