Shellshock, bug Linux più grave di Heartbleed

Red Hat ha scoperto una vulnerabilità in Bash, la shell usata su milioni di server web e dispositivi Internet. Anche gli utenti OS X sono a rischio.
Shellshock, bug Linux più grave di Heartbleed
Red Hat ha scoperto una vulnerabilità in Bash, la shell usata su milioni di server web e dispositivi Internet. Anche gli utenti OS X sono a rischio.

Red Hat ha scoperto un pericoloso bug in Bash, una delle utility più versatili e popolari usata dagli utenti Unix, Linux e Mac OS X. La vulnerabilità, subito soprannominata Shellshock, può essere sfruttata per eseguire diverse tipologie di attacchi. Un malintenzionato potrebbe creare variabili di ambiente con valori specifici, prima di invocare la shell, provocando danni enormi a qualsiasi dispositivo connesso ad Internet che usa Bash per eseguire comandi.

Bash (Bourne Again Shell) viene sfruttata da molti programmi per comunicare con il sistema operativo. Oltre a svolgere la funzione di interprete dei comandi, può eseguire compiti più complessi, utilizzando un semplice linguaggio di scripting con variabili, funzioni e strutture di controllo. Il problema di sicurezza è stato individuato nel modo in cui la shell gestisce le variabili di ambiente. Il bug viene sfruttato aggiungendo codice extra alla fine della definizione delle funzioni all’interno delle variabili di ambiente.

Per testare se il proprio sistema è vulnerabile, basta digitare il seguente comando:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

In caso positivo, verrà mostrato il seguente output:

vulnerable
this is a test

Un sistema non vulnerabile visualizzerà invece questo output:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

I sistemi, in cui Bash è la shell predefinita, potrebbero subire attacchi mediante richieste web, secure shell, sessioni telnet o altri programmi che usano Bash per eseguire script. In casi estremi, se le applicazioni vengono eseguite con permessi superuser, un cybercriminale potrebbe “uccidere” il server web.

Molte distribuzioni Linux sono già state aggiornate. Apple non ha ancora rilasciato un fix ufficiale, ma ha spiegato come risolvere il problema. In attesa della patch, la soluzione migliore è usare un’altra shell, anche se alcune applicazioni non funzioneranno più.

Robert David Graham di Errata Security ha dichiarato che il bug Shellshock è molto più pericoloso di Heartbleed, in quanto la vulnerabilità è presente in quasi tutti i dispositivi basati su Linux. Computer e server web possono essere aggiornati abbastanza velocemente, ma nel mondo ci sono milioni di router, firewall, webcam e device IoT che probabilmente non riceveranno nessuna patch. Ciò significa che Shellshock rimarrà in circolazione per molti anni.

Ti consigliamo anche

Link copiato negli appunti