Shellshock, un bug peggiore di Heartbleed

Brutta sorpresa oggi per gli utenti Linux e Mac Os X (ma in realtà per chiunque): il team di sicurezza di Red Hat ha scoperto un infido e pericoloso bug nella shell Bash, una delle utility più versatili e ampiamente utilizzate all'interno dei sistemi Unix-based.

Shellshock, questo il nome del bug, quando sfruttato opportunamente permette al codice di un attaccante di venir eseguito non appena la shell viene invocata, lasciando campo libero ad un'ampia varietà di attacchi. Quel che è peggio è che pare che il bug sia stato presente nel software enterprise Linux per lungo tempo, quindi l'applicazione di patch correttive potrebbe essere un'impresa più facile a dirsi che a farsi.

Shellshock è facile da sfruttare, e richiede appena tre linee di codice per attaccare un sistema vulnerabile. Per questo motivo è abbastanza probabile che qualcuno si prenda la briga di scrivere un worm che salti di sistema vulnerabile in sistema vulnerabile, creando un certo scompiglio tra gli amministratori di sistemi. Per sfruttare il bug, il malintenzionato può semplicemente appoggiarsi a software già presenti sul sistema bersaglio (come, per esempio, PHP) che fanno normalmente uso della shell per compiere le proprie operazioni.

Red Hat e Fedora hanno già rilasciato le patch correttive per il bug. Il bug inoltre affligge anche Mac OS X e sebbene Apple non abbia ancora rilasciato una patch, è possibile consultare un intervento su Stack Exchange che spiega come gli utenti Mac possono controllare l'eventuale presenza della vulnerabilità e risolvere il problema una volta identificato.

Il ricercatore di sicurezza Robert David Graham di Errata Security ha già comparato il bug con Heartbleed, ritenendolo di gran lunga peggiore sulla base della sua ampia portata e del potenziale effetto a lungo termine sulla sicurezza dei sistemi. "Un'enorme percentuale di software interagisce con la shell in qualche maniera. Non saremo mai in grado di catalogare tutto il software li fuori che è vulnerabile al bug bash" ha dichiarato Graham.

La portata del problema è facilmente comprensibile poiché moltissimi dispositivi, non solamente PC o server, che si collegano alla rete (firewall, router, IP-Cam, dispositivi IoT in genere) sono equipaggiati con software basato su script bash. Unendo ciò al fatto che, come già accennato, il bug pare essere in circolazione da lungo tempo si evince come la necessità di una patch potrebbe riguardare un numero veramente enorme di dispositivi. Molti dei quali, con grossa probabilità, non sono nemmeno "patchabili".

La pagina di Red Hat che dettaglia il funzionamento del bug sembra essere inaccessibile al momento in cui scriviamo, è possibile comunque consultarla tramite la cache di Google, a questo indirizzo.