Shellshock, una vulnerabilità che può mettere in ginocchio il web

[Redazione di Hardware Upg]

Link all'Articolo: http://www.hwupgrade.it/articoli/sic...web_index.html

Il bug Shellshock o Bash-bug è una pericolosa vulnerabilità che affligge i sistemi basati su Linux/Unix e che può interessare un numero sterminato di sistemi e dispositivi connessi. Le implicazioni sono anche peggiori rispetto a quanto accadde con Heartbleed

Click sul link per visualizzare l'articolo.

[les2]

come al solito vi rivelate preziosi, è prassi ogni mattina per me dedicare qualche minuto a leggere le vostre news, confidente che in casi come questo mi avvisate dell'iceberg che arriva

[Ale1992]

Infatti, questo è il tipo di notizie che leggo fino in fondo e con interesse; scritte con competenza e chiarezza. Pongo una domanda: tra tutti questi dispositivi sono presenti anche i dispositivi android? Mi pare che anche essi si basino su kernel linux, ha qualcosa a che vedere o sto parlando di tutt'altra cosa?

[FedNat]

Veramente

Quì e Quì

Ridimensionano parecchio Gli effetti del bug

[r1348]

Quote:

Originariamente inviato da Ale1992

Infatti, questo è il tipo di notizie che leggo fino in fondo e con interesse; scritte con competenza e chiarezza. Pongo una domanda: tra tutti questi dispositivi sono presenti anche i dispositivi android? Mi pare che anche essi si basino su kernel linux, ha qualcosa a che vedere o sto parlando di tutt'altra cosa?

Il bug non è del kernel linux, ma della shell bash, che è utilizzata su una moltitudine di sistemi Unix, tra cui OSX, ma non Android.

[Perseverance]

Leggo gli appunti delle superiori di qualche anno fà: "Passaggio di parametri e funzioni in bash" ad un certo punto ho sottolineato e ripassato una cosa xkè il proffo ci disse che nn funzionava sempre e in laboratorio di informatica ci si sbagliava volendo fare i fighi a scrivere tutto su una riga. Ho sottolineato "non creare mai variabili che inizino per ()" e sotto degli stupidi esempi dove accadeva che il contenuto della variabile poteva venir interpretato come comando invece che come testo.

[Ale1992]

Quote:

Originariamente inviato da r1348

Il bug non è del kernel linux, ma della shell bash, che è utilizzata su una moltitudine di sistemi Unix, tra cui OSX, ma non Android.

Si, avevo capito che utilizzava la shell bash ma pensavo che essa fosse presente e magari utilizzata su un pò tutti i sistemi basati si linux o derivati. Grazie per l'informazione.

[coschizza]

Quote:

Originariamente inviato da r1348

Il bug non è del kernel linux, ma della shell bash, che è utilizzata su una moltitudine di sistemi Unix, tra cui OSX, ma non Android.

se hai installato la bach sullo smartphone allora anche android è vulnerabile come anche IOS se hai fatto la modifica.
Aggiornare i sistemi operativi sara facile ma aggiornare miliardi di urouter, webcam, termostati, smart TV, stampanti, NAS e molto altro è praticamente impossibile e questo bug resterà in giro per molti anni a venire.

[pabloski]

Quote:

Originariamente inviato da coschizza

se hai installato la bach sullo smartphone allora anche android è vulnerabile come anche IOS se hai fatto la modifica.

Android non usa l'userland GNU ergo no Bash inside!

Quote:

Originariamente inviato da coschizza

Aggiornare i sistemi operativi sara facile ma aggiornare miliardi di urouter, webcam, termostati, smart TV, stampanti, NAS e molto altro è praticamente impossibile e questo bug resterà in giro per molti anni a venire.

Non bisogna aggiornare niente, perchè il 99% dei dispositivi che hai citato usa Busybox ( che non è vulnerabile ).

Sono i sistemi GNU/Linux, Mac OS X e BSD ad essere vulnerabili.

[Unrealizer]

Mica qualcuno ha qualche esempio su come sfruttarlo? C'è un dev in ufficio che usa OS X e Apache che è la vittima abituale di molti scherzi (aveva anche jailbreakato l'iPhone senza cambiare la password... poi si chiedeva come mai gli spariva la roba )

[coschizza]

Quote:

Originariamente inviato da pabloski

Android non usa l'userland GNU ergo no Bash inside!

sono i sistemi GNU/Linux, Mac OS X e BSD ad essere vulnerabili.

curioso allora mi spieghi perche se lancio la stringa:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

sul mio cellulare mi da "vulnerable"?
Inoltre se non ha Bash perche mi si apre la shell dei comandi?

E uso cyanomod che è molto piu android pulito di molte rom standard come quelle samsung che a parita di installazione mi occupa 1,2+ GB di spazio per app inutili.

Tanto per cambiare Apple tende a minimizzare i suoi problemi senza poi fornire nessuna spiegazione sul perchè i suoi utenti dovrebbero stare tranquilli.
Questi due articoli:

http://security.stackexchange.com/qu...d-be-exploited

https://www.trustedsec.com/september...proof-concept/

spiegano come basti collegarsi con un sistema vulnerabile ad una rete wi-fi e vedere il proprio file /etc/passwd recapitato al malintenzionato di turno...

[s0nnyd3marco]

Quote:

Originariamente inviato da pabloski

Sono i sistemi GNU/Linux, Mac OS X e BSD ad essere vulnerabili.

FreeBSD ha come shell di default tcsh, NetBSD e OpenBSD ksh. Le distro linux basate su debian hanno uno softlink tra /bin/sh (la shell che andrebbe usata negli script) e dash (non la bash).

[pabloski]

Quote:

Originariamente inviato da coschizza

curioso allora mi spieghi perche se lancio la stringa:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

sul mio cellulare mi da "vulnerable"?
Inoltre se non ha Bash perche mi si apre la shell dei comandi?

E uso cyanomod che è molto piu android pulito di molte rom standard come quelle samsung che a parita di installazione mi occupa 1,2+ GB di spazio per app inutili.

Leggi qua http://attivissimo.blogspot.it/2014/...=1411621091733

"Grazie della info. Lo ho provato anche con il mio cellulare aggiornato ad Android 4.4.4 (Cyanogenmod) e ne è affetto."

Io ho provato su un nexus s, un pad zenithink e uno onda, 2 minipc con rk3188 e il bug non c'è, o meglio è bash a non esserci.

Mi spiace, cyanogenmod è tra le poche rom android ad usare bash.

Quote:

Originariamente inviato da s0nnyd3marco

FreeBSD ha come shell di default tcsh, NetBSD e OpenBSD ksh. Le distro linux basate su debian hanno uno softlink tra /bin/sh (la shell che andrebbe usata negli script) e dash (non la bash).

Purtroppo c'è la brutta abitudine di settare bash come shell di default. Si salvano coloro che restano fedeli alle shell di default

[Crash Cilea]

"Un attacco ha anche portato all'apertura/chiusura di un drive CD/DVD di un server"

Provo inquietitudine =)

[t0mcat]

sempre a dare addosso a PHP, ma proprio in sto caso sono più vulnerabili le applicazioni su stack Python o Ruby.

i web server su stack LAMP di default non sono vulnerabili perché la configurazione più diffusa non usa la modalità CGI, quindi le variabili di ambiente non si propagano tramite gli header HTTP, e non vengono passate neanche nelle funzioni di sistema tipo 'system' o 'exec'.

[dennyv]

Notizia sensazionalistica già abbondantemente ridimensionata.

C'è da tenere presente, come già detto in altri commenti, che sono exploitabili da remoto solo sistemi che usano CGI scritti in Bash ed eseguiti da un interprete bash afflitto dal bug (ne sono esclusi quelli in altri linguaggi, C, perl, python...).

E' vero che uno di questi è l'abbastanza diffuso cPanel.

FastCGI e i vari mod_* sono anch'essi esclusi. Per quanto riguarda i dispositivi embedded un po' di allarmismo ci sta, ma la maggior parte sono basati su busybox, quindi non sono vulnerabili (a cominciare da dd-wrt e open-wrt).

Comunque aggiornare bash su un sistema Linux richiede 1 minuto e mezzo, niente riavvii. Se poi uno usa un sistema fuori dal periodo di supporto... beh, deve mettere in conto problemi simili.

[koni]

ma se uno sul mac ci mette un webserver per fare test delle pagine html e php il computer diventa vulnerabile a questo bug ?

[maldestr0]

Quote:

Originariamente inviato da dennyv

C'è da tenere presente, come già detto in altri commenti, che sono exploitabili da remoto solo sistemi che usano CGI scritti in Bash ed eseguiti da un interprete bash afflitto dal bug (ne sono esclusi quelli in altri linguaggi, C, perl, python...).

Hanno fatto anche vedere che si poteva entrare nel sistema tramite DHCP.
Peccato però che la shell in cui sia entrato il tizio era quella di un utente normale, e non di root.
Quindi a conti fatti, può fare ben poco, senza una vulnerabilità terza che gli possa far scalare i privilegi fino a root. Per come la vedo io, si tratta più di un Proof of Concept che di una vulnerabilità davvero sfruttabile.

[eaman]

Il problema e' una bella rogna, ma si tenga conto che da tempo molti sistemi tra cui sopratutto i tanto citati devices dedicati (ma anche le distro basate su debian) non usano bash ma soluzioni minori come dash come shell di default per gli scripts.
A parte quelli che usano busybox o ambienti ridotti / customizzati.

Che ovviamente non e' sensibile a questo bug.

Quote:

Description-en: POSIX-compliant shell
The Debian Almquist Shell (dash) is a POSIX-compliant shell derived
from ash.
.
Since it executes scripts faster than bash, and has fewer library
dependencies (making it more robust against software or hardware
failures), it is used as the default system shell on Debian systems.