Una nuova vulnerabilità di sicurezza, identificata come CVE-2024-27822, è stata scoperta in macOS. Questa vulnerabilità permette l’accesso non autorizzato a livello di root, causando preoccupazione tra gli esperti di cybersecurity e gli utenti di macOS. La recente pubblicazione di un codice exploit PoC (Proof-of-Concept) ha intensificato l’urgenza di affrontare questo problema critico.
Cos’è CVE-2024-27822?
CVE-2024-27822 è una vulnerabilità di sicurezza appena scoperta in macOS che consente agli attaccanti di ottenere l’accesso a livello di root senza autorizzazione. L’accesso a livello di root concede il controllo completo del sistema, consentendo l’esecuzione di qualsiasi comando e l’accesso a tutti i file. Questo livello di accesso può portare a conseguenze gravi, come il furto di dati, la manipolazione del sistema e l’installazione di software dannoso.
Qual è la causa di CVE-2024-27822?
La vulnerabilità è causata da un difetto nel kernel macOS, che non valida correttamente alcuni input utente. Questo problema è stato identificato dal ricercatore di sicurezza Mykola Grymalyuk, che ha scoperto che l’applicazione Installer.app e il framework PackageKit.framework di Apple sono vulnerabili.
Come funziona l’exploit?
L’exploit sfrutta il modo in cui i script di installazione incorporati nei PKG (file di pacchetto) vengono eseguiti come root nell’ambiente corrente dell’utente. In particolare, gli script con la shebang #!/bin/zsh caricano il file .zshenv dell’utente mentre vengono eseguiti con privilegi di root. Il problema fondamentale risiede nel potenziale inserimento di un payload dannoso nel file .zshenv. Quando un utente installa un PKG basato su ZSH, lo script di installazione viene eseguito con privilegi di root e carica il file .zshenv, eseguendo così qualsiasi codice dannoso incorporato come root. Questo rappresenta un rischio di sicurezza significativo, soprattutto quando gli utenti installano manualmente i PKG.
Qual è il vettore di attacco principale?
Il vettore di attacco principale coinvolge un payload basato su bomba logica che può rimanere dormiente nel file .zshenv. Questo payload si attiva quando l’utente installa un PKG basato su ZSH, viene eseguito con privilegi di root e concede all’attaccante l’accesso a livello di root. Questa vulnerabilità è particolarmente pericolosa negli ambienti in cui gli utenti installano frequentemente PKG da varie fonti.
Quali sono le versioni interessate?
La vulnerabilità interessa diverse versioni di macOS, rendendola una preoccupazione diffusa. Apple ha rilasciato patch per le versioni più recenti di macOS, ma le versioni precedenti possono ancora essere vulnerabili.
Come mitigare il rischio?
Per mitigare il rischio, è importante seguire alcune best practice di sicurezza:
- Aggiornare il software: Assicurarsi che tutto il software, incluso macOS, sia aggiornato con le patch di sicurezza più recenti. Apple dovrebbe rilasciare una patch per CVE-2024-27822 a breve.
- Limitare i privilegi utente: Restringere gli account utente ai privilegi minimi necessari. Evitare di utilizzare account con privilegi di root o amministrativi per le attività quotidiane.
- Monitorare i sistemi: Implementare soluzioni di monitoraggio robuste per rilevare qualsiasi attività insolita che possa indicare un tentativo di sfruttamento della vulnerabilità.
- Backup dei dati: Eseguire regolarmente il backup dei dati importanti per mitigare l’impatto di una potenziale violazione della sicurezza.
La vulnerabilità di accesso root di macOS CVE-2024-27822 sottolinea l’importanza di mantenere aggiornati i sistemi e di adottare pratiche di sicurezza solide. Seguendo le best practice di sicurezza e applicando le patch di sicurezza più recenti, gli utenti possono ridurre il rischio di exploit e mantenere i propri sistemi e dati al sicuro.
Fonte: https://cybersecuritynews.com/macos-root-access-vulnerability/
