Shellshock, un bug peggiore di Heartbleed

Shellshock, un bug peggiore di Heartbleed

Red Hat scopre un bug che affligge la shell Bash e potrebbe interessare un numero sterminato di sistemi e dispositivi connessi

di Andrea Bai pubblicata il , alle 09:35 nel canale Sicurezza
 

Brutta sorpresa oggi per gli utenti Linux e Mac Os X (ma in realtà per chiunque): il team di sicurezza di Red Hat ha scoperto un infido e pericoloso bug nella shell Bash, una delle utility più versatili e ampiamente utilizzate all'interno dei sistemi Unix-based.

Shellshock, questo il nome del bug, quando sfruttato opportunamente permette al codice di un attaccante di venir eseguito non appena la shell viene invocata, lasciando campo libero ad un'ampia varietà di attacchi. Quel che è peggio è che pare che il bug sia stato presente nel software enterprise Linux per lungo tempo, quindi l'applicazione di patch correttive potrebbe essere un'impresa più facile a dirsi che a farsi.

Shellshock è facile da sfruttare, e richiede appena tre linee di codice per attaccare un sistema vulnerabile. Per questo motivo è abbastanza probabile che qualcuno si prenda la briga di scrivere un worm che salti di sistema vulnerabile in sistema vulnerabile, creando un certo scompiglio tra gli amministratori di sistemi. Per sfruttare il bug, il malintenzionato può semplicemente appoggiarsi a software già presenti sul sistema bersaglio (come, per esempio, PHP) che fanno normalmente uso della shell per compiere le proprie operazioni.

Red Hat e Fedora hanno già rilasciato le patch correttive per il bug. Il bug inoltre affligge anche Mac OS X e sebbene Apple non abbia ancora rilasciato una patch, è possibile consultare un intervento su Stack Exchange che spiega come gli utenti Mac possono controllare l'eventuale presenza della vulnerabilità e risolvere il problema una volta identificato.

Il ricercatore di sicurezza Robert David Graham di Errata Security ha già comparato il bug con Heartbleed, ritenendolo di gran lunga peggiore sulla base della sua ampia portata e del potenziale effetto a lungo termine sulla sicurezza dei sistemi. "Un'enorme percentuale di software interagisce con la shell in qualche maniera. Non saremo mai in grado di catalogare tutto il software li fuori che è vulnerabile al bug bash" ha dichiarato Graham.

La portata del problema è facilmente comprensibile poiché moltissimi dispositivi, non solamente PC o server, che si collegano alla rete (firewall, router, IP-Cam, dispositivi IoT in genere) sono equipaggiati con software basato su script bash. Unendo ciò al fatto che, come già accennato, il bug pare essere in circolazione da lungo tempo si evince come la necessità di una patch potrebbe riguardare un numero veramente enorme di dispositivi. Molti dei quali, con grossa probabilità, non sono nemmeno "patchabili".

La pagina di Red Hat che dettaglia il funzionamento del bug sembra essere inaccessibile al momento in cui scriviamo, è possibile comunque consultarla tramite la cache di Google, a questo indirizzo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

38 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
koni25 Settembre 2014, 10:04 #1
chissà quanto ci avrà mangiato sopra l'nsa con questo bug

per risolverlo basta disabilitare la bash ?
Axios200625 Settembre 2014, 10:09 #2
Originariamente inviato da: koni
chissà quanto ci avrà mangiato sopra l'nsa con questo bug

per risolverlo basta disabilitare la bash ?


Eh già è la Nsa l'unico pericolo in rete..... virus, mandare, hacker, stalker sono marginali....
koni25 Settembre 2014, 10:18 #3
Originariamente inviato da: Axios2006
Eh già è la Nsa l'unico pericolo in rete..... virus, mandare, hacker, stalker sono marginali....


sono gli ammmericccannni che ti rubano i soldi e ti invadono

cmq lanciato prima un upgrade con apt-get e mi ha aggiornato la bash con questo aggiornamento sono apposto ?
io ho ubuntu 14
mik9125 Settembre 2014, 10:23 #4
Originariamente inviato da: koni
sono gli ammmericccannni che ti rubano i soldi e ti invadono

cmq lanciato prima un upgrade con apt-get e mi ha aggiornato la bash con questo aggiornamento sono apposto ?
io ho ubuntu 14


Prova questo nella shell:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
se printa questo dovrebbe essere tutto ok:
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
fukka7525 Settembre 2014, 10:39 #5
Originariamente inviato da: koni
chissà quanto ci avrà mangiato sopra l'nsa con questo bug

Stai attento: la prossima volta che ti bussano alla porta, potrebbe essere LORO

Ah già, LORO non bussano
r134825 Settembre 2014, 10:44 #6
Originariamente inviato da: LucaNoize
appena aggiornato ubuntu 14.04
il comando mi restituisce quello che hai scritto, grazie per l'info


La patch rilasciata corregge solo parzialmente il problema, il comando
[CODE]env X='() { (a)=>\' sh -c "echo date"; cat echo[/CODE]
infatti scrive comunque un file.
Spectrum7glr25 Settembre 2014, 11:12 #7
Originariamente inviato da: LucaNoize
@r1348

ok, aspettiamo la patch definitiva
...quello che mi preoccupa di più è però il discorso che leggevo su router
o altri dispositivi
che potrebbero essere bacati, e con l'impossibilità
di ricevere aggiornamenti (perchè magari vecchi o non più supportati)


sì questo è decisamente TERRIBILE.
san80d25 Settembre 2014, 11:15 #8
l'unica soluzione e' una vita senza connessioni
pabloski25 Settembre 2014, 11:20 #9
Originariamente inviato da: san80d
l'unica soluzione e' una vita senza connessioni


In passato forse http://www.techspot.com/news/41643-...ill-switch.html
Balthasar8525 Settembre 2014, 11:27 #10
Originariamente inviato da: koni
sono gli ammmericccannni che ti rubano i soldi e ti invadono
[..]

Veramente i più attivi li trovi in Asia ed Europa dell'est.. sai, negli USA son un tantinello più attenti quando si parla di frodi digitali et simila.


CIAWA

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^