Venerdì 26 Settembre 2014
Shellshock, la nuova minaccia alla sicurezza

Scoperta una nuova falla nel sistema operativo Linux, CVE-2014-6271, a cui è stato assegnato il massimo grado di gravità.

L’alert è stato lanciato dal team di sicurezza informatica del Dipartimento degli Interni Usa (US-CERT) e riguarda Bash (Born Again Shell), una delle utility più utilizzate nei sistemi operativi Unix (Linux e OS X di Apple).

Il bug, battezzato Bash bug o Shellshock, sembra essere presente fino alla versione 4.3 inclusa e permetterebbe di creare variabili d’ambiente contenenti codice che viene automaticamente eseguito all'apertura della riga di comando bash, senza alcun controllo sulla bontà del codice, che, in caso sia malevolo, ha pieno accesso all’ambiente dell’utente che attiva la shell bash.

Nel caso l’utente abbia i permessi di amministratore (di root in termini unix), la vulnerabilità di bash può permettere agli aggressori di assumere il comando del sistema operativo, di avere accesso alle informazioni riservate, apportare modifiche e altro.

Se si considera che il panorama dei server web e di molti dispositivi stand-alone, come proxy o dispositivi di networking, sono basati su sistemi operativi Unix-like, si tratta di un pericolo che può avere ripercussioni e danni su larga scala.

Banalmente, la seguente riga di codice:

env variabile='() { :;}; echo VULNERABILE bash -c "echo SCRIPT DI PROVA"

permette di verificare la vulnerabilità del sistema, definendo come variabile d’ambiente una porzione di codice che scrive a schermo “VULNERABILE”.

In questa maniera, se si esegue il seguente script all’interno di una riga di comando bash vulnerabile comparirà il seguente messaggio:

Questo succede perché, per come è progettata bash, dopo la definizione della variabile d’ambiente, esegue anche il codice definito successivamente.

Per i sistemi Debian based, come Ubuntu, la soluzione consiste nell’aggiornare la shell bash all’ultima versione disponibile.

Un semplice comando per fare questo è:

sudo apt-get update && sudo apt-get install bash

che permette di aggiornare all’ultima release disponibile.

Una volta eseguito il comando di aggiornamento, tentando di eseguire il codice malevolo visto prima, comparirà il seguente messaggio di errore:

Diverso è il discorso per i sistemi operativi Apple. Non sembra al momento sia stata rilasciata alcuna patch ufficiale, esistono delle vie per contenere ed aggirare la vulnerabilità, scaricando e ricompilando la shell.

Attenzione deve essere prestata anche da quegli utenti in ambiente Windows che utilizzano framework come cigwin per eseguire applicazioni simulando un ambiente Unix.

Al contrario di Heartbleed, che riguardava una falla nella gestione della crittografia nelle connessioni Internet, Shellshock colpisce direttamente il sistema a livello di funzionalità software ed è particolarmente pericoloso in un contesto di Internet of Things, come quello attuale, perché riguarda numerosissimi dispositivi secondari come sistemi di videosorveglianza, router, FTP, NAS, stampanti e altri dispositivi online che sono ormai obsoleti e non possono dunque ricevere aggiornamenti. Com’è già successo con Heartbleed, a distanza di tempo centinaia di migliaia di sistemi con grande probabilità rimarranno vulnerabili.


Vedi anche: