250.000 dollari per un salto fuori dal recinto: Google paga caro il bug che rompe le VM

250.000 dollari per un salto fuori dal recinto: Google paga caro il bug che rompe le VM

Diciamocelo subito: se riuscite a scassinare la porta blindata di un datacenter e il proprietario vi ringrazia con un assegno da un quarto di milione di dollari, avete ufficialmente vinto la partita della vita.

Questa settimana la sicurezza del kernel Linux ha ricevuto una bella scossa. Google ha deciso di svuotare il portafogli, versando ben 250.000 dollari a un ricercatore per segnalare una vulnerabilità di alto livello. Non stiamo parlando della solita fessura che permette di leggere un file di configurazione dimenticato in giro, ma di qualcosa di decisamente più cinematico: un «guest VM escape».

Per chi non mastica kernel e hypervisor ogni notte davanti a un caffè freddo, ecco il succo della questione. Immaginate di essere chiusi in una cella di massima sicurezza (la vostra macchina virtuale, o VM). Tutto intorno a voi ci sono muri di cemento armato, telecamere e guardie che controllano ogni vostro movimento. L’idea è che, anche se riusciste a scatenare l’inferno dentro la cella, non potreste in alcun modo toccare il resto del carcere. Ecco, questo bug permetteva di trovare un passaggio segreto nella tubatura, uscendo dalla cella e finendo direttamente nell’ufficio del direttore, con privilegi di root tutto vostro. Un vero e proprio salto fuori dal recinto.

Il problema non è solo la gravità tecnica, che è oggettivamente brutta, ma il potenziale impatto. Quando parliamo di cloud e infrastrutture condivise, l’illusione del confine è tutto ciò che ci separa dal caos. Se un utente non autorizzato può «evadere» dalla propria istanza per infettare l’host o altre macchine virtuali sullo stesso server, il concetto stesso di isolamento diventa una barzelletta senza senso.

Certo, leggendo la notizia dai soliti canali americani, sembra quasi una passeggiata di gloria. Ma restiamo con i piedi per terra: per noi che viviamo tra server in garage, Raspberry Pi e piccoli nodi self-hosted, queste beghe da grandi corporation spesso sembrano far parte di un ecosistema parallelo, quasi distaccato dalla realtà quotidiana. Però, c’è un lato positivo: il sistema di bug bounty funziona e il kernel Linux si è già mosso per patchare il buco.

Insomma, meno fumo negli occhi e più patch applicate. Se proprio dobbiamo preoccuparci, meglio che sia per un bug che ci ha portato un premio da 250k, piuttosto che per una nuova policy di qualche big tech che decide arbitrariamente cosa possiamo o non possiamo compilare sul nostro terminale.

Source: Google pays $250K for Linux vulnerability allowing guest VM escapes

Lascia un commento