Cron Jobs

Guida Approfondita su Exploiting Cron Jobs in Linux

I cron jobs sono programmi o comandi eseguiti automaticamente a intervalli specifici in Linux. Sono comunemente usati per eseguire operazioni periodiche, come il backup dei dati, la gestione dei log e altre attività di sistema. La vulnerabilità nell'uso di cron jobs è che, se non configurati correttamente, possono consentire a un attaccante di eseguire comandi non autorizzati con privilegi elevati. In questa guida, esploreremo come esplorare e sfruttare le vulnerabilità nei cron jobs su sistemi Linux, con l'obiettivo di comprenderne il funzionamento e proteggere adeguatamente i sistemi.

#### 1. Cos’è un Cron Job?

Un cron job è un processo automatizzato configurato nel file di configurazione del cron daemon (cron.d, cron.daily, cron.weekly, cron.monthly o crontab). Il cron daemon esegue i comandi o gli script specificati in base alla pianificazione settimanale, mensile o giornaliera definita nel file di configurazione.

#### 2. Esplorazione dei Cron Jobs

Per iniziare a esplorare i cron jobs su un sistema Linux, possiamo seguire una serie di passi per identificare quali processi sono in esecuzione.

##### 2.1 Verifica dei Cron Jobs dell'Utente

Ogni utente, incluso l'utente root, ha una propria crontab, che contiene i cron job personalizzati. Per vedere i cron jobs associati all'utente corrente, eseguiamo:

bashcrontab -l

Se l'utente ha cron jobs, verranno visualizzati. Questo comando permette anche di modificare i cron jobs tramite:

crontab -e

##### 2.2 Esplorare i Cron Jobs di Sistema

I cron jobs di sistema si trovano in diverse directory come /etc/cron.d/, /etc/cron.daily/, /etc/cron.weekly/, ecc. È possibile eseguire i seguenti comandi per visualizzare questi cron jobs:

cat /etc/crontab ls /etc/cron.d/ ls /etc/cron.daily/

##### 2.3 Controllare i Permessi dei Cron Jobs

È fondamentale esaminare i permessi associati ai cron jobs. I permessi errati su uno script cron potrebbero consentire a un utente non privilegiato di modificarne il comportamento. Eseguiamo:

ls -l /etc/cron.d/ ls -l /etc/cron.daily/

#### 3. Vulnerabilità Comuni nei Cron Jobs

Le vulnerabilità più comuni nei cron jobs derivano dalla configurazione errata o da comandi non sicuri inclusi nei cron jobs. Questi includono:

• Permessi Impropri: Se uno script cron è eseguibile da un utente non privilegiato, questo potrebbe modificarne il contenuto e inserire comandi dannosi.

• Percorsi Insicuri: Se uno script fa affidamento su variabili PATH non protette, un utente potrebbe inserire un programma maligno nella directory del PATH e compromettere il sistema.

• Cron Jobs con Privilegi Elevati: I cron jobs eseguiti come root possono essere un obiettivo principale per gli attaccanti che cercano di ottenere privilegi elevati.

• Uso di Input Non Validato: Gli script che eseguono comandi come echo $USER, senza una corretta sanificazione dell'input, possono essere vulnerabili a iniezioni di codice.

#### 4. Tecniche di Exploit

Esaminando i cron jobs, possiamo utilizzare diverse tecniche per sfruttare le vulnerabilità:

##### 4.1 Esecuzione di Comandi Arbitrari con un Cron Job

Se un cron job esegue uno script che non è protetto correttamente, un attaccante può modificarlo. Supponiamo che il cron job di root esegua uno script che si trova in /usr/local/bin/myscript.sh, ma il permesso di lettura/scrittura sia troppo permissivo:

chmod 777 /usr/local/bin/myscript.sh

L'attaccante potrebbe quindi sostituire myscript.sh con un proprio script maligno contenente comandi come:

#!/bin/bash cp /bin/bash /tmp/bash chmod +s /tmp/bash

Il che consentirebbe l'esecuzione di un reverse shell con privilegi root.

##### 4.2 Uso Improprio del PATH

Se un cron job non specifica correttamente il percorso di esecuzione, potrebbe essere vulnerabile a un attacco di path hijacking. Ad esempio, se un cron job esegue:

python script.py

e se un attaccante è in grado di inserire un eseguibile maligno chiamato python nella propria directory ($HOME), il cron job potrebbe eseguire il programma malevolo invece del vero Python. Gli attaccanti possono inserire il loro programma nel percorso definito (ad esempio $HOME/bin) e sfruttare il comportamento non sicuro.

##### 4.3 Sfruttamento degli Scripting di Root

Se un cron job è configurato per eseguire uno script come root, qualsiasi debolezza nel controllo dell'accesso può essere sfruttata. Un esempio di questo tipo di vulnerabilità potrebbe essere un cron job configurato per eseguire uno script senza la protezione adeguata sui permessi, consentendo l'esecuzione da un utente non privilegiato.

##### 4.4 Esploitazione di Cron Jobs con Parametri di Input Malformati

Un altro tipo di vulnerabilità è legato a come gli input vengono passati agli script eseguiti dai cron jobs. Se uno script esegue comandi come echo $USER o echo $HOME, l'attaccante potrebbe manipolare questi input per eseguire codice arbitrario. Ad esempio, l'input potrebbe essere manipolato per inviare un payload malevolo a uno script cron non protetto.

#### 5. Tecniche di Mitigazione

Per evitare che i cron jobs diventino una vulnerabilità nel sistema, è essenziale seguire alcune best practice di sicurezza:

• Impostare Permessi Correttamente: I file cron jobs e gli script associati devono avere permessi stretti. Limita i permessi di scrittura e modifica solo agli utenti autorizzati.

chmod 700 /usr/local/bin/secure_script.sh

• Proteggere il PATH: Non affidarsi mai a variabili PATH non sicure. Specificare percorsi assoluti negli script cron per evitare l'esecuzione di programmi non autorizzati.

• Verificare gli Script Periodicamente: Controllare regolarmente gli script cron e i cron jobs in esecuzione per rilevare anomalie.

• Audit e Monitoraggio: Implementare audit e monitoraggio costante sui cron jobs per rilevare qualsiasi attività sospetta.

• Limitare l'Uso dei Cron Jobs di Root: Ridurre al minimo l'uso di cron jobs che vengono eseguiti come root e assicurarsi che siano strettamente monitorati.

#### 6. Conclusione

I cron jobs sono un potente strumento per l’automazione delle attività di sistema, ma la loro configurazione errata o la gestione dei permessi inadeguata possono introdurre rischi significativi. La consapevolezza delle potenziali vulnerabilità e l’adozione di best practice di sicurezza sono fondamentali per proteggere i sistemi da attacchi che sfruttano i cron jobs.

L’esplorazione di queste vulnerabilità deve essere sempre effettuata in un contesto di ethical hacking e con il consenso esplicito della parte proprietaria del sistema.