Nel mondo del pentesting e del CTF, capita spesso di cercare proof-of-concept (PoC) su GitHub o altrove per testare vulnerabilità o comprendere meglio il funzionamento di un exploit. È una pratica comune, ma non sempre sicura. Purtroppo, alcuni PoC in circolazione sono stati deliberatamente confezionati per agire come dropper o malware, sfruttando l’ingenuità di chi li esegue senza verificarli.
Un caso recente riguarda un PoC apparentemente legittimo per la CVE-2023-3824, pubblicato su GitHub. Il codice sembrava valido, ma conteneva un payload offuscato che, una volta decompresso ed eseguito, scaricava da un repository remoto diversi binari tra cui un cryptominer e uno script shell persistente. Il tutto veniva installato nella directory ~/.local/bin
, e avviato tramite un servizio systemd mascherato come Xsession Auth daemon
.
Il repository remoto era ospitato su Codeberg, ma oggi risulta rimosso. Alcuni utenti si sono accorti del comportamento sospetto leggendo il codice o esaminando le issues del progetto. Altri, invece, hanno eseguito lo script prima di accorgersene. In alcuni casi, il dropper potrebbe non aver funzionato se il repository era già stato eliminato, ma il rischio resta concreto.
Questo tipo di episodi non è raro e dovrebbe ricordarci alcune semplici ma fondamentali regole operative:
-
Non fidarsi ciecamente dei PoC trovati online.
-
Leggere sempre il codice, anche se solo per capire se esegue comandi di rete o crea file sospetti.
-
Controllare issues, commenti, e fork del repository.
-
Eseguire il codice in ambienti virtualizzati, isolati e senza dati sensibili.
-
Tenere la rete disabilitata quando possibile.
-
Se si sospetta qualcosa, meglio eliminare e ricreare la VM da zero.
Nel mondo del testing, anche la fretta può diventare una vulnerabilità. Un PoC non verificato può compromettere l’ambiente di lavoro — o peggio. La prossima volta che vi trovate su Hack The Box, TryHackMe o simili, ricordate: la prudenza non è mai troppa.
Commenti
Posta un commento