Corsi on-line

ShellShock: vero pericolo o allarme ingiustificato?

Per comprendere se l’allarme creato dall’individuazione del ShellShock Bug sia giustificato o meno, dobbiamo prima riferirci alle fonti ufficiali; una tra queste è l’NVD (National Vulnerability Database), cioè il repository ufficiale del governo statunitense sui dati relativi alle vulnerabilità; in esso si parla di un bug a massimo livello di priorità, network exploitable, a bassa complessità in fase di accesso (non necessita di exploit in autenticazione) e in grado generare information disclosure, modifiche non autorizzate ai dati e interruzione dei servizi.

shellshocker

Detto questo, in cosa consiste ShellShock? Chiarendo che, contrariamente a quanto dichiarato da certa stampa “di settore” non si tratta di un malware, esso è invece una vulnerabilità che consiste nella gestione scorretta delle variabili di ambiente, motivo per il quale queste ultime potrebbero essere valorizzate tramite codice malevolo destinato ad un’esecuzione immediata e priva di controlli. Dal punto di vista di una rete, si potrebbe quindi sfruttare ShellShock al fine di lanciare comandi arbitrari da remoto verso un server.

ShellShock è noto anche come “The Bash vulnerability“, questo per via del fatto che coinvolgerebbe un processo proprio della GNU Bourne Again Shell (Bash), cioè la shell command-line shell diffusa in numerose piattaforme Unix based e Unix Like come per per esempio le distribuzioni Linux e il sistema operativo (Mac) OS X della Casa di Cupertino; quest’ultimo infatti è basato su Darwin che a sua volta utilizza il kernel XNU.

Il bug non riguarda invece direttamente i prodotti della famiglia Windows che hanno un’origine differente rispetto a quelli già citati, rimane però la possibilità che in tali sistemi siano state installate soluzioni per il porting di applicazioni Linux come per esempio Cgywin. In ogni caso, si consideri che le release di Bash coinvolte dovrebbero essere quelle che vanno dalla 1.14 fino alla 4.3, per cui tra le distribuzioni di Linux affette ci sarebbero:

  • Red Hat Enterprise Linux nelle versioni dalla 4 alla 7 e le distro di Fedora correlate;
  • CentOS nelle versioni dalla 5 alla 7;
  • Ubuntu nelle versioni 10.04 LTS, 12.04 LTS e 14.04 LTS
  • Debian.

ShellShock è stato paragonato a The Heartbleed Bug, ma sarebbe più corretto sottolineare che mentre quest’ultimo affliggeva in modo particolare la libreria crittografica OpenSSL , il primo dovrebbe avere un campo di azione molto più vasto (moduli mod_cgi e mod_cgid  nel server HTTP Apache, scripts eseguiti tramite client DHCP nonché OpenSSH).

Attualmente è disponibile online un servizio tramite il quale verificare se un sistema è vulnerabile a causa delle presenza di ShellShock; contestualmente tutti i maggiori produttori di applicazioni potenzialmente attaccabili (Apple compresa) starebbero lavorando alla creazione di patch e aggiornamenti per limitare i danni derivanti da eventuali attacchi. Dato che però ShellShock rappresenterebbe soltanto il sintomo di un problema ben più vasto di Bash nella gestione delle variabili, è probabile che alcune delle soluzioni che verranno adottate possano porre più di un interrogativo in termini di retrocompatibilità.

Via NVD

Post correlati
I più letti del mese
Tematiche