Shellshock, una vulnerabilità che può mettere in ginocchio il web

Shellshock, una vulnerabilità che può mettere in ginocchio il web

Il bug Shellshock o Bash-bug è una pericolosa vulnerabilità che affligge i sistemi basati su Linux/Unix e che può interessare un numero sterminato di sistemi e dispositivi connessi. Le implicazioni sono anche peggiori rispetto a quanto accadde con Heartbleed

di pubblicato il nel canale Sicurezza
 

Il bug della shell Bash

Nel corso della giornata di ieri è stata portata all'attenzione del pubblico la scoperta di un bug molto pericoloso per tutti i sistemi operativi Unix-based: si tratta di Shellshock o Bash-bug, una vulnerabilità presente in realtà da lungo tempo e che permette, se opportunamente sfruttata da un attaccante, di eseguire codice arbitrario non appena la shell viene invocata, lasciando così aperta la possibilità di portare un'ampia varietà di attacchi. I sistemi Windows non sono toccati dal problema.

Abbiamo già avuto modo di osservare come la vulnerabilità sia molto semplice da sfruttare, appoggiandosi ad esempio a software e programmi già presenti sul sistema bersaglio e che fanno normalmente uso della shell per compiere le proprie operazioni. Tra il pomeriggio e la notte la situazione si è evoluta, e purtroppo le notizie attualmente in circolazione non sono per nulla buone, indicando come la vulnerabilità sia attivamente sfruttata da malintenzionati e come molte patch della prima ora si stiano rivelando inefficaci.

E' fortemente probabile che i principali bersagli saranno server web e dispositivi di rete, con le applicazioni web PHP-based che saranno particolarmente vulnerabili. Ma il problema non è limitato solamente a computer, server o dispositivi di rete: i nuovi "smart devices" e più in generale tutto ciò che si può ascrivere all'universo "Internet of Things" possono rivelarsi vulnerabili specie sul lungo periodo, dal momento che spesso il rilascio di patch per questo genere di dispositivi avviene lentamente. Insomma, i sistemi suscettibili agli attacchi che possono sfruttare Shellshock sono veramente numerosi e come David Jacoby di Kaspersky Lab ha spiegato, la "reale portata del problema ancora non è chiara".

Il ricercatore di sicurezza Robert David Graham di Errata Security ha già provato ad eseguire un IP scan di portata limitata, individuando circa 3000 sistemi vulnerabili prima che lo scan andasse in crash. Graham ha sottolineato come fossero particolarmente a rischio i webserver embedded su porte non convenzionali.

Il problema, però, è che lo script realizzato da Graham a scopi di test è stato utilizzato da anonimi malintenzionati come base per realizzare un worm per scaricare malware. Il worm è già stato ribattezzato "Thanks, Rob" per rendere credito, in modo canzonatorio, al ricercatore di Errata Security. Usando la stessa tecnica, quindi, è già stato possibile innescare un meccanismo per il quale un sistema bersaglio viene attaccato sfruttando Shellshock, infettato ed indotto ad effettuare a sua volta uno scan per ricercare nuovi bersagli che a loro volta ripeteranno l'operazione. E' facile comprendere, come la cosa possa velocemente sfuggire di mano.

Dati questi presupposti, il rischio è che si verifichi una situazione simile a quanto causato nel 2003 da SQL Slammer, un worm che, propagandosi ad effetto domino in 12 minuti, ha portato ad un pesante rallentamento del traffico su Internet. La differenza sostanziale, però, risiede nel fatto che SQL Slammer faceva uso solo di alcune porte specifiche, mente la vulnerabilità Shellshock può essere sfruttata con qualsiasi porta (il test eseguito da Graham ha usato, per esempio, la porta 80). Il worm SQL Slammer fu inoltre rilasciato dall'autore nel corso di un venerdì, per altro con un qualche genere di avvertimento. Un worm come "Thanks, Rob", invece, può essere creato da chiunque abbia un minimo di dimestichezza ed essere diffuso quindi senza alcun avvertimento.

Intanto alcuni provider di servizi Internet confermano che la vulnerabilità Shellshock è attivamente sfruttata. CloudFlare, un network di distribuzione di contenuti, ha già disposto una serie di regole per il firewall web-app allo scopo di proteggere i sistemi, ma alcuni hacker hanno già tentato numerosi attacchi utilizzando il worm. "Abbiamo visto attaccanti tentare di sottrarre file di password, scaricare malware nelle macchine, ottenere accesso remoto e via dicendo. Un attacco ha anche portato all'apertura/chiusura di un drive CD/DVD di un server" ha dichiarato John Graham-Cumming di Cloudflare.

Anche i dispositivi di rete di più alto livello potrebbero essere vulnerabili. Il ricercatore e giornalista Ashkan Soltani afferma infatti di aver già riscontrato un vettore di attacco molto pericoloso: una vulnerabilità Bash sul servizio Big IP di F5 Security, che funge da smart gatweay collocandosi tra le web app e gli utenti. La vulnerabilità ora è comunque limitata - dal momento che è necessario essere un utente F5 autenticato per poter rendere operativo l'attacco - ma indica la possibilità di portare attacchi molto più pericolosi, estendendo la portata del problema. Molti dei sistemi di rete di fascia alta sono costruiti su piattaforma Linux/Unix: una vulnerabilità in un apparato di rete chiave è molto più critica rispetto al computer di un singolo utente dal momento che permette di architettare operazioni di reindirizzamento e attacchi man-in-the-middle su scala massiva.

Come abbiamo osservato ieri, la pericolosità di Shellshock è ben superiore rispetto a quella di Heartbleed, un'altra vulnerabilità di ampia portata che è stata scoperta nel corso della primavera, per via della enorme facilità con cui può essere sfruttata a scopi dannosi.

Al momento in cui scriviamo sono già state distribuite patch per i sistemi operativi CentOS, Debian, Redhat e Ubuntu. Apple ha riconosciuto il problema, comunicando ufficialmente di essere al lavoro per realizzare una patch correttiva. La Mela ha inoltre indicato che "gli utenti Mac OS X non sono esposti allo sfruttamento remoto di Bash a meno che non abbiano configurato servizi Unix avanzati", sebbene non precisi quali siano questi sistemi. Le varie community hanno però sollevato qualche dubbio sull'efficacia delle patch già rilasciate, che sembrano essere più un tentativo di prendere tempo prima di trovare una soluzione definitiva.

Quello che accadrà nel breve termine è una corsa tra staff IT e amministratori di sistemi/rete contro gli attaccanti che operano per diffondere malware. L'unico consiglio che si può dare ora è quello, per tutti gli utenti di sistemi Linux/Unix-based di aggiornare tutti i software all'ultima versione disponibile ed in particolare quei programmi che fanno uso di FTP o Telnet, in attesa che venga resa disponibile una soluzione definitiva al problema. Nel lungo termine, invece, è tutt'altro discorso: ripetiamo che non solo sistemi PC/server ma qualunque dispositivo connesso ad una rete e che operi una versione di Unix e che faccia uso di script shell (una scorciatoia molto comune) è vulnerabile. Si tratta di un numero sterminato di dispositivi, molti dei quali probabilmente abbandonati a loro stessi già da molto tempo o impossibili da aggiornare. Non è nemmeno da escludere, anzi è fortemente probabile, che nei prossimi giorni/settimane possano verificarsi vari problemi/attacchi causati da questa vulnerabilità.

Ulteriori dettagli tecnici su Shellshock sono disponibili in questo blog.

45 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
les226 Settembre 2014, 12:52 #1

Grazie ragazzi

come al solito vi rivelate preziosi, è prassi ogni mattina per me dedicare qualche minuto a leggere le vostre news, confidente che in casi come questo mi avvisate dell'iceberg che arriva
Ale199226 Settembre 2014, 13:21 #2
Infatti, questo è il tipo di notizie che leggo fino in fondo e con interesse; scritte con competenza e chiarezza. Pongo una domanda: tra tutti questi dispositivi sono presenti anche i dispositivi android? Mi pare che anche essi si basino su kernel linux, ha qualcosa a che vedere o sto parlando di tutt'altra cosa?
FedNat26 Settembre 2014, 13:38 #3
Veramente

Quì e Quì

Ridimensionano parecchio Gli effetti del bug
r134826 Settembre 2014, 13:39 #4
Originariamente inviato da: Ale1992
Infatti, questo è il tipo di notizie che leggo fino in fondo e con interesse; scritte con competenza e chiarezza. Pongo una domanda: tra tutti questi dispositivi sono presenti anche i dispositivi android? Mi pare che anche essi si basino su kernel linux, ha qualcosa a che vedere o sto parlando di tutt'altra cosa?


Il bug non è del kernel linux, ma della shell bash, che è utilizzata su una moltitudine di sistemi Unix, tra cui OSX, ma non Android.
Perseverance26 Settembre 2014, 14:12 #5
Leggo gli appunti delle superiori di qualche anno fà: "Passaggio di parametri e funzioni in bash" ad un certo punto ho sottolineato e ripassato una cosa xkè il proffo ci disse che nn funzionava sempre e in laboratorio di informatica ci si sbagliava volendo fare i fighi a scrivere tutto su una riga. Ho sottolineato "non creare mai variabili che inizino per ()" e sotto degli stupidi esempi dove accadeva che il contenuto della variabile poteva venir interpretato come comando invece che come testo.

Ale199226 Settembre 2014, 14:32 #6
Originariamente inviato da: r1348
Il bug non è del kernel linux, ma della shell bash, che è utilizzata su una moltitudine di sistemi Unix, tra cui OSX, ma non Android.


Si, avevo capito che utilizzava la shell bash ma pensavo che essa fosse presente e magari utilizzata su un pò tutti i sistemi basati si linux o derivati. Grazie per l'informazione.
coschizza26 Settembre 2014, 14:40 #7
Originariamente inviato da: r1348
Il bug non è del kernel linux, ma della shell bash, che è utilizzata su una moltitudine di sistemi Unix, tra cui OSX, ma non Android.


se hai installato la bach sullo smartphone allora anche android è vulnerabile come anche IOS se hai fatto la modifica.
Aggiornare i sistemi operativi sara facile ma aggiornare miliardi di urouter, webcam, termostati, smart TV, stampanti, NAS e molto altro è praticamente impossibile e questo bug resterà in giro per molti anni a venire.
pabloski26 Settembre 2014, 15:10 #8
Originariamente inviato da: coschizza
se hai installato la bach sullo smartphone allora anche android è vulnerabile come anche IOS se hai fatto la modifica.


Android non usa l'userland GNU ergo no Bash inside!

Originariamente inviato da: coschizza
Aggiornare i sistemi operativi sara facile ma aggiornare miliardi di urouter, webcam, termostati, smart TV, stampanti, NAS e molto altro è praticamente impossibile e questo bug resterà in giro per molti anni a venire.


Non bisogna aggiornare niente, perchè il 99% dei dispositivi che hai citato usa Busybox ( che non è vulnerabile ).

Sono i sistemi GNU/Linux, Mac OS X e BSD ad essere vulnerabili.
Unrealizer26 Settembre 2014, 15:19 #9
Mica qualcuno ha qualche esempio su come sfruttarlo? C'è un dev in ufficio che usa OS X e Apache che è la vittima abituale di molti scherzi (aveva anche jailbreakato l'iPhone senza cambiare la password... poi si chiedeva come mai gli spariva la roba )
coschizza26 Settembre 2014, 15:33 #10
Originariamente inviato da: pabloski
Android non usa l'userland GNU ergo no Bash inside!

sono i sistemi GNU/Linux, Mac OS X e BSD ad essere vulnerabili.


curioso allora mi spieghi perche se lancio la stringa:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

sul mio cellulare mi da "vulnerable"?
Inoltre se non ha Bash perche mi si apre la shell dei comandi?

E uso cyanomod che è molto piu android pulito di molte rom standard come quelle samsung che a parita di installazione mi occupa 1,2+ GB di spazio per app inutili.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^