Assistenza Linux server, setup, configurazione, gestione
Notizie Linux su server, sicurezza informatica, reti e web
Notizie su server Linux, sicurezza informatica, reti. News su Linux server Ubuntu, Debian, Red Hat, CentOS, Almalinux, Rocky Linux, Slackware.
Le notizie linux che potete leggere riguardano aggiornamenti dei pacchetti, distribuzioni utilizzate in ambito server, problemi di configurazione e di sicurezza dei server che sopravvengono ogni giorno.
La sezione non e’ esaustiva e gli argomenti trattati non sono sufficienti a garantire un adeguato livello di sicurezza dei server. Si consiglia pertanto di approfondire e curare autonomamente lo stato di protezione dei server. Affidatevi a professionisti di servizi di Assistenza sistemistica dedicati a tale scopo.
Le notizie sulla sicurezza e gli altri argomenti trattati sono considerate di particolare interesse in ambito server Linux/Unix/BSD. Le notizie sono scelte per il numero dei sistemi colpiti, per il meccanismo di funzionamento, la metodologia di attacco, l’originalita’ o per altri motivi che saranno di volta in volta descritti. Si parlera’ di Linux per server: Debian, Red Hat, CentOS, Ubuntu, Almalinux, Rocky Linux, zero-days exploit, firewall, rootkit, crittografia, firme digitali, attacchi MITM, Poisoning, spoofing, SQL injection, vulnerabilities, etc… Le notizie sulla Sicurezza informatica da noi pubblicate le puoi trovare anche nei post di Sicurezzarete su Facebook e su Google News
Questo sito non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità. Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001
In arrivo in primavera il clone della distribuzione Linux Enterprise col cappello rosso. La risposta dopo l’annuncio che a breve cessera’ il supporto di CentOS 8 (previsto inizialmente per il 2029 e anticipato al 2021 !) L’annuncio di Jordan Pisaniello racconta quali sono gli sviluppi a poche settimane dall’avvio. Le attese della comunita’ sono molte visto che la distribuzione e’ per molte aziende il sistema operativo alla base del proprio business.
Rocky Linux server enterprise
Il gruppo di sviluppo dichiara che la trasparenza con la comunità e per coloro che si affideranno a Rocky Linux è fondamentale. Presto sara resa pubblica la Timeline del che seguira’ i seguenti passi:
realizzazione dei sistemi e delle infrastrutture
creazione delle infrastrutture per il build automatico dei pacchetti
il repository dei pacchetti sarà reso pubblico per i test
disponibilità dell’installatore per i test
stimato il tempo necessario per i test della comunità
In settembre si discuteva. Una idea sul futuro di CentOS: penso non sia roseo.
Senza tediarti gli eventi passati sono questi (la storia si ripete).
Redhat (la compagnia) fa business con la sua distribuzione libera e gratuita chiamata appunto “RedHat”, e’ il 1995 circa
per fare piu’ contratti di assistenza e profitto la distribuzione RedHat viene trasformata in Red Hat Enterprise Linux “RHEL”(circa 2003) non piu’ libera (solo i sorgenti, come impone la GPL sono disponibili), per accontentare la comunita’ e far sperimentazioni viene lanciata Fedora. Peccato che negli ambienti di produzione non si vuole sperimentazione ma STABILITA’.
Nasce CentOS come ricompilazione dei sorgenti di RHEL (circa 2004),
CentOS 6 e 7 si diffondono moltissimo nelle sale server,
2018 tutti i dipendenti di CentOS assunti da RedHat !
2018, viene rilasciata RHEL 8, la ricompilazione di RHEL 8 in CentOS 8 ritarda quasi 1 anno
2018 nasce CentOS Stream: una versione non ricompilata dai sorgenti RHEL ma di sviluppo e test di RHEL (non adatta alla produzione… ci risiamo…)
2019 RedHat viene acquisita da IBM… Mi sembra sia chiaro che i giganti dell’informatica (Google, Amazon, IBM, Oracle, …) ormai abbiano capito i modi per aggirare o superare gli ostacoli imposti dalle licenze del software libero e stanno producendo enormi profitti da cio’. Cosa ne sara’ di CentOS ??? Difficile dirlo ma e’ presente in una grossa fetta degli ambienti server e difficilmente non stimola l’appetito di soldi del mondo informatico.
Oggi 12 Dicembre 2020, la notizia che CentOS 8 e suoi futuri sviluppi termineranno. Sostituiti con una distribuzione di sviluppo e NON di produzione. La notizia riporta chiaramente: “CentOS Linux 8, as a rebuild of RHEL 8, will end at the end of 2021.”
Il famoso sistema operativo basato su Linux e clone della famosa distribuzione Enterprise RHEL 6 e’ giunto, dopo 10 anni di onorato servizio, alla fine del suo ciclo di vita. Dal 30 novembre 2020 i server con installato CentOS 6, non riceveranno aggiornamenti di sicurezza. Ha raggiunto quello che tecnicamente e’ chiamato EOL (End Of Life). CentOS 6 e’ ancora molto diffuso ed installato su moltissimi server fisici, virtuali e in istanze cloud, in aziende e in server farm. L’impatto della fine supporto e’ percio’ rilevante in particolare dal punto di vista della sicurezza.
CentOS 6 fine supporto 30 novembre 2020
Non solo, chi oggi lancera’ una aggiornamento della lista dei pacchetti presenti nei repository ricevera’ un errore di questo tipo:
YumRepo Error: All mirror URLs are not using ftp, http[s] or file. Eg. Invalid release/repo/arch combination/ removing mirrorlist with no valid mirrors: /var/cache/yum/x86_64/6/base/mirrorlist.txt Errore: Cannot find a valid baseurl for repo: base
In questo modo, non solo non disporra’ degli aggiornamenti ma non potra’ neppure installare o reinstallare un pacchetto necessario. Per questo problema c’e’ una soluzione: affidarsi agli archivi “vault” (ATTENZIONE:questo archivio non presenta aggiornamenti di sicurezza ma si tratta solo di un archivio di pacchetti utilizzabili). Bastera’ lanciare il seguente comando.
Ovviamente, la soluzione a lungo termine non e’ quella di rimanere con un server privo di aggiornamenti ma di migrare ad altra versione del sistema operativo, ad esempio CentOS 7 che sara’ supportato fino al 2024 oppure CentOS 8 che avra’ aggiornamenti fino al 2029 (AGGIORNAMENTO CentOS 8 sara’ supportato solo fino al 2021 – Leggi ARTICOLO). L’aggiornamento di un sistema in produzione da centOS 6 alla versione 7 e’ sconsigliato, le due versioni presentano enormi differenze ( dal kernel al sistema di gestione dei servizi e molto altro ancora). Anche la migrazione non e’ del tutto priva di problemi, le versioni dei pacchetti (php, Mysql, apache, etc.) tra versioni sono molto diverse e conviene fare una analisi prima di procedere. Se la procedura di migrazione preoccupa il consiglio e’ quello di affidarsi a sistemisti esperti che possono suggerire la soluzione migliore per evitare qualsiasi interruzione dei servizi. Suggeriamo l’assistenza offerta da SicurezzaRete.
La vulnerabilita’ di WordPress WPBakery, un diffuso plug-in per WordPress che svolge la funzionalita’ di editor html, ha una grave vulnerabilità che consente agli utenti con livello di autore e collaboratore di iniettare JavaScript e HTML dannosi in post e pagine. Il difetto interessa tutti i siti WPBakery che utilizzano la versione 6.4 e precedenti e coinvolge oltre 4 milioni di siti web.
I dettagli del problema Wordfence ha scoperto una vulnerabilità nel famoso page builder di WPBakery (vedi articolo Wordfence del 7 ottobre 2020). La falla consentiva ad attaccanti autenticati con livello di contributore e autore di iniettare codice JavaScript dannoso in post e pagine. Inoltre, la vulnerabilità consente a questi utenti di modificare i post di altri utenti.
Ciò accade perché WPBakery ha disabilitato i controlli di filtraggio post-HTML predefiniti nella funzione saveAjaxFe. Pertanto, qualsiasi utente con accesso al generatore di pagine potrebbe potenzialmente iniettare HTML e JavaScript. Inoltre, la funzionalità onclick di WPBakery per i pulsanti consente agli hacker di aggiungere codice javascript dannoso in un pulsante che viene eseguito quando gli utenti fanno clic su di esso. Le vulnerabilità wordpress nei plug-in e nei temi non sono nuove. Quindi, è una buona idea seguire alcune best practice di sicurezza per mantenere il tuo sito al sicuro. Infine, per prevenire attacchi DDOS e tenere a bada gli hacker.
Soluzione La buona notizia è che c’è una soluzione rapida: aggiorna WPBakery all’ultima versione 6.4.1. Quindi ti consigliamo di aggiornare il generatore di pagine il prima possibile. Inoltre, tieni d’occhio tutti gli account a livello di contributore e autore per assicurarti che siano affidabili.
Utilizzi il page builder di WPBakery? Hai aggiornato all’ultima versione? Quale e’ lo stato degli altri plug-in? Se non sai come fare per aggiornare o hai poco tempo affidati a professionisti attraverso uncontratto di assistenza.
Scoperta una falla di sicurezza sul pacchetto opensource piu’ usato per costruire connessioni sicure attraverso VPN. Il pacchetto e’ alla base di moltissime infrastrutture basate su Linux e in appliance che offrono la possibilita’ di creare con facilita’ tunnel criptati per la creazione di reti private virtuali. Il bug di sicurezza OpenVPN e’ stato scoperto da Lev Stipakov e segnalata sulla lista degli sviluppatori il 15 Aprile 2020. E’ gia’ stata creata una patch al codice che corregge il problema.
VEDI sito web OpenVPN Al bug e’ stato assegnato un codice CVE (Common Vulnerability Exposure), il CVE-2020-11810 Vedi sito web MITRE Non e’ ancora chiara la gravita’ della falla cosi’ come la possibilità’ di sfruttarla per compiere operazioni non autorizzate. Non si sa neppure se esistono exploit 0day che hanno utilizzato tale falla. Non ancora classificato il bug di sicurezza nel’archivio NVD (National Vulnerability Database). A breve i diversi vendor procederanno all’aggiornamento dei pacchetti, alcuni di essi lo hanno gia’ fatto (Slackware in primis) Vedi sito web Slackware
I ricercatori di Netflix hanno scoperto alcune nuove vulnerabilità denial-of-service (DoS) nei kernel Linux e FreeBSD, inclusa una grave vulnerabilità (CVSS: 8.2) chiamata SACK Panic che potrebbe consentire agli attori malintenzionati di bloccare da remoto i server ed interrompere le comunicazioni, secondo un advisory pubblicato nel repository Github: “Le vulnerabilità riguardano in particolare le capacità MSS (Maximum Segment Size) e SACK (Selective Acknowledgement) TCP. Il più serio, soprannominato “SACK Panic“, consente un blocco del kernel attivato da remoto sui kernel Linux”.
I ricercatori di Netflix hanno aggiunto che ci sono patch per la maggior parte di queste vulnerabilità e strategie di mitigazione aggiuntive da considerare se la patch non è possibile.
“I problemi sono stati assegnati codici CVE: CVE-2019-11477 è considerato un livello di gravità importante, mentre CVE-2019-11478 e CVE-2019-11479 sono considerati di gravità moderata”, ha dichiarato un advisory di Red Hat.
Questi difetti possono avere un impatto su qualsiasi organizzazione che esegue grandi flotte di computer Linux di produzione e, se lasciati privi di patch, consentono agli aggressori remoti di assumere il controllo e bloccare le macchine. Una volta che la maggior parte di delle infrastrutture avra’ ricevuto la patch appropriata, molte organizzazioni dovranno affrontare la lunga coda del ciclo di aggiornamento. Alla fine di questa coda ci sono i dispositivi che non ricevono aggiornamenti automatici e che potrebbero non ricevere alcun aggiornamento – la IOT (Internet of things) e i dispositivi non gestiti che in molti casi sono costruiti su Linux (router, firewall, VPN, etc.). Questa vulnerabilità risale a molto tempo indietro (dal momento che Linux v2.6.29, che è stato rilasciato 10 anni fa), quindi la quantità di dispositivi legacy che usano il codice vulnerabile sarà molto significativa in questo caso, e questi tipi di dispositivi probabilmente non riceveranno aggiornamenti e rimarranno vulnerabili.
RIFERIMENTI
SACK Panic (CVE-2019-11477)
SACK Slowness or Excess Resource Usage (CVE-2019-11478)
SACK Slowness the RACK TCP Stack (CVE-2019-5599)
Excess Resource Consumption Due to Low MSS Values (CVE-2019-11479)
Una grave vulnerabilità (CVE-2019-10149), che ha un punteggio di gravità critico di 9,8 su 10 sulla scala CVSS v3, è stata scoperta il 5 giugno nelle versioni dalla 4.87 alla 4.91 di Exim. La versione 4.92 di Exim non è vulnerabile. La maggiore gravita’ della falla consiste nel fatto che, in determinate condizioni (non rare) la falla puo’ essere sfruttata da remoto per eseguire comandi di livello amministrativo.
Grave falla in server mail Exim
Il server di posta Exim e’ un MTA open-source, che riceve, instrada e consegna messaggi e-mail da utenti locali e host remoti. Exim è l’MTA predefinito incluso in alcuni sistemi Linux tra cui il diffusissimo sistema di Web-Hosting WHM/Cpanel.
Gli aggressori stanno sfruttando un difetto critico di Linux Exim per eseguire comandi remoti, scaricare i ministri crittografici e annusare altri server vulnerabili.
Nello specifico, sotto attacco è un difetto nei server di posta basati su Exim, che gestiscono un enorme numero di server di posta elettronica di Internet.
Exim è infatti ampiamente distribuito. Al momento della pubblicazione, i risultati di ricerca di una ricerca condotta da Shodan mostrano oltre 4,1 milioni di sistemi che eseguono versioni di Exim considerate vulnerabili (4.87-4.91), mentre 475.591 utilizzano l’ultima versione con patch (4.92). In altre parole, quasi il 90% dei sistemi con Exim è vulnerabile allo sfruttamento locale e potenzialmente allo sfruttamento remoto basato sulla configurazione.I risultati mostrano oltre 4,1 milioni di sistemi che eseguono versioni di Exim considerate vulnerabili (4.87-4.91)
Risultati totali per numero di versione Exim 4.87: 206.024 Exim 4.88: 24.608 Exim 4.89: 206.571 Exim 4.90: 5.480 Exim 4.91: 3.738.863 Exim 4.92: 475.591
Gli aggressori stanno sfruttando il difetto, scoperto la scorsa settimana, per prendere il controllo delle macchine della vittima, cercare su Internet altre macchine da infettare e avviare un’infezione da cryptominer.
Una campagna diffusa sta sfruttando una vulnerabilità nell’agente di trasporto della posta Exim (MTA) per ottenere l’esecuzione da remoto dei comandi sui sistemi Linux delle vittime. I ricercatori dicono che attualmente più di 3,5 milioni di server sono a rischio dagli attacchi, che utilizzano un exploit wormable.
“Questi tipi di attacchi hanno grandi implicazioni per le organizzazioni”, hanno detto i ricercatori di Cybereason in un post di giovedì. ” Il processo di recupero da questo tipo di attacco è costoso e richiede molto tempo.”
Il difetto Il difetto deriva dalla convalida impropria dell’indirizzo del destinatario nella funzione deliver_message () nel server.
“Una patch esiste già, è in fase di test e backported a tutte le versioni rilasciate da (e incluso) 4.87”, secondo un recente avviso di sicurezza. ” La gravità dipende anche dalla configurazione. Dipende da quanto vicino alla configurazione standard è la tua configurazione di runtime Exim.
Una prima ondata di attacchi a questa vulnerabilità – che ha coinvolto utenti malintenzionati che lanciavano exploit da un malintenzionato server command-and-control (C2) – è stata scoperta il 9 giugno dal ricercatore Freddie Leeman.
Si consigli di provvedere subito all’aggiornamento dei server che presentano tale grave falla al fine di proteggere i propri utenti e quelli esterni che possono veder violati i propri dati riservati. A tal fine si consiglia di lasciar operare sistemisti linux esperti (suggeriamo i servizi erogati da SicurezzaRete.com)
Segue un caso reale di Denial Of Service Distribuito di web server linux risolto da SicurezzaRete.
Scenario: Contatto di azienda che eroga contenuti multimediali a pagamento. Richiesta assistenza per server bloccato poiche’ sotto attacco di tipo Denial Of Service da 10 giorni.
Richiesta ricevuta da SicurezzaRete: “Da alcuni giorni il nostro server subisce degli attacchi ddos. Nonostante il sito sia protetto da cloudflare e dal firewall CSF questo hacker riesce a tenerlo giù per ore, fino a che il provider N….cheap blocca l’ip per troppi accessi… Abbiamo assolutamente necessità che in giornata il sito sia messo in sicurezza…”
Tipo: messa in sicurezza e ripristino servizio.
Priorita’: urgente
Danni stimati: 35.000-45.000 Euro di mancato fatturato in 10 giorni.
Giorno 0 Analisi: Il problema e’ causato da un attacco Denial of service distribuito (DDOS) presumibilmente generato con strumenti tipo memcrashed (sfruttano circa 80.000 host compromessi per generare un effetto moltiplicatore di traffico UDP) usati per saturare la banda disponibile per l’host.
Alla ripetuta sollecitazione al provider (N…cheap) la risposta e’ deludente e mostra la loro impossibilita’ tecnica di bloccare il Denial of service: “We are afraid that the DDoS attack is still in place (UDP pkts/s > 8000; 622.60Mb/s). This time on on 198.x.y.z again. The next network block will expire within half an hour. Reboot won’t help here. We are deeply sorry.“
Giorno 1 Azione 1: apertura canale sul server bloccato Azione 2: attivazione nuovo server presso un provider con dispositivi adeguati di protezione anti-DDOS Azione 3: messa in sicurezza totale dei servizi sul nuovo server. Configurazione DNS corretta. Azione 4: migrazione verso nuovo server di tutta la piattaforma. Ottimizzazione server. Azione 5: configurazione per accessibilita’ della macchina solo da front-end (Cloudflare). Azione 6: ripristino del servizio, avvenuto entro 36 ore dalla prima chiamata.
Nuovo attacco di tipo diverso verso Cloudflare. Rallentamento del server. Azione 7: creazione script per interazione attraverso API Cloudflare per protezione dinamica della macchina. Servizi completamente operativi ed efficienti. IlDenial of service del web server linux non e’ piu’ efficace.
Conclusioni: a) si consiglia di affidarsi a provider di buon livello in particolare se si tratta di business on-line dove i disservizi possono generare danni economici significativi. b) affidarsi a sistemisti esperti (SicurezzaRete) per la soluzione di problemi tecnici di rete e/o sistemistici complessi.
Per i nostri clienti abbiamo messo a confrontato i servizi email in cloud di due tra i maggiori provider. A tale confronto (aggiornato al Marzo 2019) abbiamo aggiunto una soluzione proprietaria realizzata con un mail server privato operante su server virtuale linux (VPS) su cui avviene una installazione di servizio di posta elettronica basato su Linux. Il risultato evidenzia che solo in pochi casi il Cloud è economicamente conveniente rispetto ad un mail server privato. Confrontando i servizi Google Apps for Works, Microsoft con Office 365 e un VPS con installazione dedicata di mail server linux (comprensivi di assistenza) e considerando 1 anno di utilizzo si ottengono i costi mensili per ciascuna mailbox rappresentati nel grafico (dimensione di ciascuna mailbox: 50 GB per MS Office 365 e 30 GB per Google Apps e Mailserver privato VPS). Oltre le 7 mailbox risulta conveniente la soluzione proprietaria con una soluzione linux mail server. Numerose aziende italiane potrebbero trarre benefici economici adottando tale soluzione.
Nei giorni scorsi Intel ha reso noto la scoperta di un nuovo vettore del tipo “esecuzione speculativa side-channel”, denominato L1TF / Foreshadow e basato sullo stesso concetto dei difetti Spectre e Meltdown scoperti ad inizio 2018.
Sicurezzarete
Cos’è L1TF? Chiamato “L1 Terminal Fault” (L1TF) – o “Foreshadow” – questa vulnerabilità riguarda le CPU con tecnologia SMT (nota anche come “hyper-threading” per i processori Intel). Può consentire l’esecuzione di codice dannoso su un thread per accedere ai dati dalla cache L1 di un altro thread all’interno dello stesso core.
La vulnerabilità Foreshadow è difficile da sfruttare e solo una dimostrazione sviluppata in condizioni di laboratorio ha convalidato la sua esistenza. Sebbene non ci siano prove che suggeriscano che questa vulnerabilità sia stata ancora usata, sono stati creati tre identificatori CVE con qualifica di livello “alto”:
L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High L1 Terminal Fault – OS, SMM (CVE-2018-3620) 7.1 High L1 Terminal Fault – VMM (CVE-2018-3646) 7.1 High
Il manutentore di Linux Greg Kroah-Hartman ha rilasciato nuovi aggiornamenti sui canali del kernel di Linux 4.18, 4.17, 4.14, 4.9 e 4.4 per risolvere la vulnerabilità di L1 Terminal Fault “L1TF” / Foreshadow tipo Meltdown che colpisce i processori Intel.
Le versioni del kernel Linux 4.4.148, 4.9.120, 4.14.63, 4.17.15 e 4.18.1 sono le prime a presentare le patch con la mitigazione a L1TF / Foreshadow.
Qui gli script per testare la vulnerabilita’ delle proprie macchine: