Se usate atop su Linux, disinstallatelo! Pubblicato un misterioso avviso
Rachel Kroll, esperta di sicurezza con un passato in Google e Facebook, suggerisce la rimozione immediata di atop dai sistemi Linux, senza rivelarne il motivo. L'utility, nota per registrare dati di sistema, utilizza privilegi elevati e un modulo kernel. La comunità Linux è divisa, ipotizzando una scoperta critica non ancora divulgata.
Tra gli strumenti software di monitoraggio delle prestazioni del sistema utilizzabili su Linux, c’è atop. Pubblicata su GitHub, si tratta di un’applicazione progettata per fornire una visione dettagliata delle risorse utilizzate da processi e sottosistemi. A differenza degli strumenti più basilari come top o htop, atop registra dati storici, permettendo di analizzare il comportamento del sistema nel tempo. In queste ore, tuttavia, una famosa blogger, sviluppatrice, system administrator ed esperta di software e tecnologia, ha tuonato contro atop invitando tutti gli utenti a disinstallare l’utilità con effetto immediato.
Perché atop deve essere immediatamente disinstallato?
Il concetto di fiducia è fondamentale in rete perché influenza la sicurezza, la privacy, le transazioni economiche e l’affidabilità delle informazioni. Nel caso di specie, “Rachelbythebay” è un’esperta informatica che nel corso degli anni ha pubblicato centinaia di post guadagnandosi un’ampia stima.
Anche se sul suo blog il vero nome non appare, basta una semplice ricerca per verificare che dietro lo pseudonimo “Rachelbythebay” c’è Rachel Kroll, una veterana come sysadmin che ha lavorato in Google, Facebook e Lyft. Sempre come ingegnere capo o ingegnere di produzione.
Che la Kroll sia una persona competente e “fidata” è pacifico. Ci ha quindi lasciato di stucco la sua uscita di qualche ora fa pubblicata sempre sul suo blog:
Dovreste smettere di usare atop. La mia vita da sysadmin mercenario può essere interessante. A volte trovo cose, a volte sento cose. Ogni tanto dico cose.
Al momento, penso che sia meglio se disinstallate atop. Non intendo solo arrestarlo, ma impedirne effettivamente l’esecuzione.
Non sto parlando di top, o htop, iftop, o qualsiasi altra cosa con un nome “top”. Solo atop.
Potrò spiegarne il motivo un’altra volta.
Rachel invita tutti coloro che utilizzano l’utilità Linux atop a disinstallarla subito. Non limitandosi quindi ad arrestarne l’esecuzione ma proprio a rimuoverla da qualunque sistema.
Quali sono i motivi di un’esortazione così criptica?
La comunità Linux, professionisti e utenti sono divisi rispetto al messaggio pubblicato dall’esperta. Perché non solo consigliare ma proprio esortare in maniera così imperativa alla rimozione di un’utilità popolare come atop senza fornire alcuna giustificazione? Senza conoscere alcun dettaglio tecnico, è possibile fare solamente delle ipotesi.
Va detto, infatti, che atop utilizza ampi privilegi. Basti pensare che si serve di diversi hook che eseguono automaticamente il codice come root e interagisce direttamente con il file system.
Non è quindi escluso che Rachel abbia individuato una grave vulnerabilità di sicurezza in atop e che, per via di qualche accordo di riservatezza, non possa al momento scendere nei particolari. Questo motiverebbe la frase finale: “potrò spiegare il motivo più avanti“. Nel frattempo, l’informatica si è comunque sentita in dovere di caldeggiare la disinstallazione di atop da tutti i sistemi.
Oltretutto, atop utilizza un componente chiamato netatop che installa a sua volta un modulo kernel persistente, netatop.ko, come parte della sua installazione. Il modulo aggancia netfilter per poter monitorare tutto il traffico di rete. Se nel modulo kernel fosse presente un bug sfruttabile da parte di malintenzionati, si tratterebbe di una problematica di sicurezza di gravità massima.
Rachel potrebbe aver semplicemente segnalato in modo responsabile la (presunta) vulnerabilità, lasciando agli sviluppatori di atop il tempo materiale per risolverla. Nel frattempo, però, vista la portata dell’anomalia, l’esperta avrebbe consigliato la rimozione dell’utilità a scopo cautelativo. Non escludendo che l’eventuale problema di sicurezza in questione possa essere già sfruttato in-the-wild. Lo ripetiamo, però. Al momento siamo nel campo delle mere speculazioni.
Siamo di fronte a un altro caso XZ?
Esattamente un anno fa, a fine marzo 2024, parlavamo del caso XZ e del malware piombato in alcune distribuzioni Linux. Uno sviluppatore, Andres Freund, notò delle anomalie nelle prestazioni di SSH, portando all’identificazione di codice malevolo in XZ Utils 5.6.0 e 5.6.1.
Il codice dannoso, inserito nelle XZ Utils, si attivava durante l’autenticazione SSH, bypassando i controlli di sicurezza. Per raggiungere con successo il suo obiettivo, l’attaccante aveva condotto un’operazione di social engineering durata 2 anni: ha contribuito con patch legittime al progetto XZ dal 2022, guadagnandosi la fiducia dei maintainer.
Ha quindi utilizzato account fittizi per esercitare pressioni e accelerare l’adozione delle sue modifiche. Infine, a febbraio 2024 ha inserito una backdoor nel codice del progetto, sfruttando i privilegi di maintainer. Fortunatamente, l’esistenza della backdoor è stata scoperta prima che le versioni infette di XZ Utils fossero integrate nelle versioni di produzione delle varie distro Linux.
A questo punto, nella comunità Linux serpeggia il dubbio che qualcosa di simile possa essere avvenuto anche nel caso di atop. Per ora l’ultima release pubblica è quella di luglio 2024.
