PROTO: N240509

CERT-Yoroi informa che sono state rese note due vulnerabilità, di cui una con gravità critica, sul linguaggio di programmazione GO, noto linguaggio di programmazione ampiamente adottato.

Nello specifico, le vulnerabilità si strutturano nel seguente modo:

• CVE-2024-24787: falla critica che interessa nello specifico i sistemi Darwin, dove il build process di un modulo GO che include CGO, strumento che permette l’integrazione con codice C. La vulnerabilità deriva dall'uso improprio del flag -lto_library nella direttiva #cgo LDFLAGS quando si utilizza la versione di Apple del linker (ld). Tradizionalmente, il linker darwin consente di impostare la libreria LTO (Link Time Optimization), adibita all’ottimizzazione durante il processo di linkaggio di un programma, con questo flag. Un metodo precedentemente non controllato dalla verifica “safe linker flags” di Go a causa della sua similitudine con il flag benigno -lx utilizzato per il collegamento delle librerie. Un aggressore, sfruttando questo difetto, potrebbe caricare una libreria LTO malevola, portando all'esecuzione di codice arbitrario durante il build process con il comando go build.
• CVE-2024-24788: vulnerabilità che affligge le funzioni DNS lookup di GO, in cui una risposta DNS malformata può potenzialmente causare il crash di applicazioni o server che si basano sul codice Go. La risposta malforme può innescare un loop infinito, causando potenzialmente uno scenario di Denial-of-Service (DoS). Il crash dei servizi o il blocco delle applicazioni, con la negazione dell'accesso alle risorse, rappresenta una minaccia significativa in particolare per le applicazioni e i servizi web che si affidano a Go per le query DNS.

Ad oggi non sono stati registrati tentativi di exploit in the wild di tali vulnerabilità da attori malevoli.

GO ha risolto le vulnerabilità che affliggono le diverse versioni del software con le release 1.22.3 e 1.21.10 rilasciate. Gli sviluppatori e gli amministratori di sistema sono invitati ad aggiornare le installazioni Go per proteggere i sistemi da potenziali exploit.

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanate e successivamente il patching alle versioni suggerite dal vendor.      

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index

Riferimenti Esterni        

• https://go.dev/dl/
• https://groups.google.com/g/golang-announce/c/wkkO4P9stm0
• https://securityonline.info/cve-2024-24787-cvss-9-8-go-vulnerability-could-lead-to-code-execution/