È stato rilasciato un exploit proof-of-concept (PoC) per CVE-2025-3155, una vulnerabilità critica nel visualizzatore della guida Yelp di GNOME che consente agli aggressori di esfiltrare chiavi SSH e altri file sensibili dai sistemi Ubuntu.
La falla sfrutta la gestione impropria dello schema URI ghelp:// e dell'elaborazione XML per eseguire codice JavaScript arbitrario, esponendo milioni di utenti desktop Linux a potenziali furti di dati.
Yelp, preinstallato su Ubuntu e altre distribuzioni basate su GNOME, elabora i file .page utilizzando lo schema XML Mallard.
Dettagli sulla vulnerabilità
Questi file supportano XInclude, un meccanismo di inclusione XML che gli aggressori hanno sfruttato per iniettare contenuti dannosi. La catena di vulnerabilità coinvolge tre componenti chiave:
Schema URI ghelp:
Github segnala che Yelp si registra come gestore per gli URI ghelp://. Un link dannoso come ghelp:///proc/self/cwd/Downloads può innescare l'analisi dei file .page controllati dall'attaccante.
XInclude Lettura file arbitraria:
Gli aggressori creano file .page con direttive come:
Ciò consente l'inclusione di file di sistema (ad esempio, /proc/self/cwd/.ssh/id_rsa) nel documento renderizzato.
Iniezione di script basata su SVG:
Il processore XSLT di Yelp copia gli elementi <svg> alla lettera nell'HTML di output. Gli aggressori incorporano JavaScript nei tag SVG per esfiltrare i dati:
Questo script invia i file rubati a un server remoto quando la pagina viene caricata.
Sfrutta il flusso di lavoro
L' exploit PoC prevede due fasi:
Una pagina web dannosa utilizza JavaScript per forzare il download di un file .page nella cartella Download della vittima:
La stessa pagina reindirizza a ghelp:///proc/self/cwd/Downloads, facendo sì che Yelp analizzi il file .page dannoso ed esegua lo script incorporato.
I sistemi interessati includono Ubuntu 22.04 LTS e altre distribuzioni basate su GNOME che utilizzano Yelp ≥42.1.
Con CVSS 6.5, classificato come moderato, la vulnerabilità richiede l'interazione dell'utente (cliccando su un collegamento) e un affidamento parziale all'individuazione dei percorsi dei file.
Gli aggressori sfruttano la directory predefinita $HOME di GNOME come directory di lavoro per i browser, utilizzando /proc/self/cwd per fare riferimento a Downloads/ senza conoscere il nome utente.
Raccomandazioni di mitigazione
Evita i link non attendibili: non cliccare sugli URI ghelp:// provenienti da fonti non verificate.
Gestione patch: monitora gli aggiornamenti ufficiali da GNOME e Ubuntu. A partire dall'8 aprile 2025, non esiste alcuna patch impegnata, sebbene le correzioni proposte siano in fase di revisione.
Segmentazione della rete: limita l'accesso esterno ai sistemi che eseguono versioni vulnerabili di Yelp.
La scoperta evidenzia i rischi nell'elaborazione XML e nei gestori URI personalizzati negli ecosistemi desktop Linux.
Sebbene sia richiesta l'interazione dell'utente, la facilità dell'ingegneria sociale combinata con questa falla crea una superficie di attacco significativa per il furto di credenziali e lo spostamento laterale.
Gli amministratori di sistema dovrebbero dare priorità alla formazione degli utenti e al monitoraggio degli endpoint fino al rilascio delle patch ufficiali.
Nessun commento:
Posta un commento