Leggo da Securiteam che il demone telnet di Solaris ha una vulnerabilità che si sfrutta in modo simile alla vulnerabilità che AIX aveva nel 1996. Non credo che i due problemi abbiano in realtà la stessa origine, sia perché se lo stesso exploit avesse funzionato su Solaris, allora si sarebbe saputo, sia perché la vulnerabilità di AIX, pur essendo sfruttata principalmente con rlogin, era in realtà del programma login. Tuttavia vale la pena di notare di nuovo come ci siano in giro vulnerabilità banali da sfruttare, che aspettano solo di essere scoperte, e che nel caso specifico derivano da una logica completamente sbagliata dal punto di vista della sicurezza (vedi commenti al codice nell’articolo).
Perché ricordo così bene il problema di login su AIX? Nel 1996 mi ero laureato da poco, e stavo facendo un po’ di attività di sicurezza al Dipartimento di Informatica a Pisa, in attesa di capire che fare della mia pelle e della mia laurea. La mia tesi, per la parte pratica, aveva sfruttato come base una vulnerabilità di sendmail per fare dell’attività di “penetration testing”.
Un giorno dei mei amici venne da me e mi disse che un loro conoscente, che era sistemista in una grossa azienda, gli aveva detto che questa azienda stava installando un firewall basato su AIX. Allora chi si occupava di sicurezza i prodotti li conosceva tutti, e io sapevo che quel prodotto era una ciofeca. Presero quindi accordi per una demo. Il nostro scopo era mostrarci competenti e far vedere quanto fosse cattiva la loro scelta, in modo da installargli noi un firewall come si deve. Al momento concordato, io sfruttai la stessa vulnerabilità di sendmail, che era attivo e non patchato sul “firewall”, per aprirmi un xterm (la vulnerabilità era nota da quasi un anno). Di lì, sfruttai la vulnerabilità del login (almeno l’rlogin non lo avevano lasciato aperto da remoto) per diventare root. Tempo della demo: circa due minuti.
Il motivo per cui racconto questo episodio non è chiacchierare del passato, ma metterci la moralina finale legata al mercato del lavoro. Dopo che l’azienda seppe dell’esperimento, chiese spiegazioni al fornitore del firewall che disse semplicemente che il sistema non era ancora completamente configurato, e installò le patch per le due vulnerabilità. Naturalmente il fornitore rimase quello, e anche il prodotto, che nonostante le patch ad AIX rimaneva ovviamente una ciofeca. Fu allora, e qui arriva la morale, che cominciai a capire che quello che conta per entrare nelle grosse aziende non è tanto la competenza quanto il canale.
