Più volte negli scorsi numeri abbiamo ricordato che l’impatto delle vulnerabilità dipende dal contesto in cui è collocato il sistema informatico che ne è affetto. Per le molte organizzazioni che includono al loro interno dei gruppi di sviluppo software una delle insidie peggiori può arrivare dalla compromissione dei software tipo CVS(Concurrent Version System). Le conseguenze sono essenzialmente due, la prima, immediata, di intrusione sul server con le ovvie implicazioni di danno economico in caso di furto del codice, la seconda, più subdola, di inserimento di backdoor o all’interno del software in sviluppo. A fine maggio è stato scoperto un buffer overflow all’interno del codice del CVS, usato soprattutto negli ambienti open source per coordinare l’attività degli sviluppatori e che serve per lavorare in più persone attorno al codice dello stesso progetto software.Senza entrare nei dettagli del funzionamento della vulnerabilità (rimandiamo a http://security.e-matters.de/advisories/072004.html e a http://www.us-cert.gov/cas/techalerts/TA04-147A.html ).
Ricordiamo che anche se la vulnerabilità fosse stata sfruttabile solo dopo il login, molte CVS mettono a disposizione l’accesso anonimo. Nel raccomandare comunque a tutti di scaricare la patch per il CVS qualora sia precedente alla versione 1.11.16 o 1.12.8, segnaliamo delle best practice che, indipendentemente da interventi sul codice, salvaguarderebbero l’operatività del sistema: l’adozione di ambiente chroot che prevengono l’accesso su parte dei dischi, e l’utilizzo di un kernel con protezioni contro l’esecuzione di buffer overflow sull’heap.Nei giorni successivi alla scoperta della vulnerabilità, il sito dell’organizzazione che coordina lo sviluppo del software CVS (cvshome.org) è stato irraggiungibile, mettendo in difficoltà gli amministratori di sistema che già dovevano affrontare l’ardua scelta tra fermare i servizi coinvolti o aggiornare i sistemi (grazie ai mirror – ancora funzionanti). All’inizio il problema sembrava identificato in un DDoS per impedire l’aggiornamento dei sistemi in modo da massimizzare il numero dei target disponibili. In seguito invece è stato accertato trattarsi di un’azione di risposta voluta da cvshome al fatto di sapere di essere stati oggetto di un attacco con introduzione di un suckit per celarne le conseguenze. Sono stati necessari quindi alcuni giorni di audit e di reinstallazione dei sistemi. CVS è sicuramente un asset strategico per talune aziende (ad esempio le software house), ed è difficilmente stimabile quante altre tecnologie di nicchia abbiano simile criticità nell’insieme delle aziende alla luce dei rispettivi business. L’indicazione che vogliamo però dare è che le varie organizzazioni devono essere tanto più rigorose e tempestive nell’applicare le patch ai sistemi, tanto più le vulnerabilità siano individuate in ambienti fondamentali per il loro business o dove la stessa tecnologia sia adottata dalla maggior parte degli utenti.