ShellShock, falla critica in Linux e Mac OS X

Mezzo miliardo di dispositivi a rischio.



[ZEUS News - www.zeusnews.it - 25-09-2014]

it crowd popcorn GO

C'è una falla seria in innumerevoli server, computer, router, dispositivi connessi a Internet che permette agli aggressori di agire in modo così  devastante che l'ente statunitense NIST ha assegnato a questa vulnerabilità il massimo grado di gravità: dieci su dieci.

Non c'è da stupirsi, dato che la falla, battezzata ShellShock, consente per esempio di prendere il comando di un server Web non aggiornato semplicemente mandandogli un solo comando via Internet.

Secondo l'esperto Robert Graham di Errata Security, ShellShock è sfruttabile per creare un attacco che si autopropaga: “this thing is clearly wormable”. Una sua scansione ha già trovato alcune migliaia di server vulnerabili, e la BBC parla di mezzo miliardo di dispositivi a rischio.

È già in circolazione il primo malware basato su ShellShock (Virustotal; Kernelmode.info) e Trustedsec ha pubblicato una dimostrazione di come questa falla può essere usata per attaccare un computer o altro dispositivo Linux vulnerabile che si collega a una rete Wi-Fi ostile.

Niente panico, comunque: gli utenti Windows sono totalmente immuni dalla falla, a meno che abbiano installato software come per esempio Cygwin: il problema, infatti, riguarda i dispositivi che usano sistemi operativi “Unix-like”, come per esempio Linux, Mac OS X o iOS.

Al momento i Mac risultano formalmente vulnerabili, ma la falla normalmente non è sfruttabile per attacchi dall'esterno se si usa il Mac come workstation (per chi lo usa come server pubblico è tutta un'altra storia). Inoltre gli antivirus riconoscono già questo genere di malware. Se volete sapere se un sito è vulnerabile, c'è un test innocuo presso Brandonpotter.com.

Sondaggio
Qual è l'ambiente Linux che preferisci?
Gnome
Kde
Unity
Xfce
Lxde
Cinnamon
Mate
Un altro
Non uso Linux

Mostra i risultati (4396 voti)
Leggi i commenti (25)

È comunque fondamentale aggiornare i dispositivi vulnerabili installando la correzione (e anche la correzione della correzione), che è quasi sempre già disponibile: un'operazione relativamente facile per i computer, ma chi aggiornerà router, webcam, termostati, smart TV, stampanti, NAS e altri dispositivi online? Improvvisamente l'Internet delle Cose non sembra più una bell'idea come prima.

La falla (CVE-2014-6271) risiede in Bash, l'interprete dei comandi di quasi tutti i sistemi operativi Unix e “Unix-like”. Secondo alcune indicazioni, giace indisturbata da circa vent'anni: un fatterello che non mancherà di riaprire il dibattito sui pro e contro dell'open source in termini di sicurezza (sul quale dico subito che la falla è stata scoperta proprio perché il codice sorgente è ispezionabile e che non sappiamo quante altre falle segrete ci sono nel software chiuso). È presente fino alla versione 4.3 inclusa ed è stata resa pubblica da Stephane Chazelas.

Per sapere se un dispositivo che usa Unix o simile (quindi anche un computer Apple) è vulnerabile, provate a digitare in una finestra di terminale questo comando:

env x='() { :;}; echo vulnerabile' bash -c "echo prova"

Se vi compare un messaggio d'errore del tipo

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'

siete a posto. Se invece compare la parola vulnerabile, siete appunto vulnerabili. Se comunque non vi va di attendere che Apple turi la falla, ci sono delle soluzioni non ufficiali qui.

Maggiori dettagli tecnici sono su The Register, Redhat.com, SlashdotArs Technica, e una delle migliori spiegazioni è quella di Troyhunt.com; in italiano c'è Siamogeek.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Fedora e Ubuntu, basta un file audio per violarli
Bug critico in Linux, da nove anni
Malware, attacchi al Mac moltiplicati nel 2015
Mac vulnerabili anche dopo la riformattazione del disco
Poodle, vulnerabilità in tutti i browser
Violati i server di Yahoo e Winzip
Heartbleed è ancora là fuori. Come difendersi
Heartbleed, scappati i buoi qualcuno finanzia il recinto
Heartbleed, (quasi) tutto OK per Apple
Heartbleed, altre info in breve
Milioni di Android ancora vulnerabili a Heartbleed
Come funziona Heartbleed
Come difendersi da Heartbleed

Commenti all'articolo (ultimi 5 di 26)

A livello teorico dist-upgrade a differenza del semplice comando upgrade permette di rimuovere ed installare nuove dipendenze (se il pacchette ne necessita ovviamente). A livello pratico con il solo upgrade, se ci sono dipendenze, il sistema vi chiederà se volete installare/rimuovere le dipendenze ed a questo punto darà per voi il... Leggi tutto
30-9-2014 09:09

Una domanda agli esperti dell'argomento Come fare per capire se gli apparecchi non pc linux-based (p.es. router, nas, ecc.) sono vulnerabili?
29-9-2014 22:02

Mint ha un sistema di aggiornamenti particolare, visto che divide in fasce di priorità, ma questo particolare aggiornamento dovrebbe averlo già fatto come ha già fatto anche Ubuntu. Molto probabilmente, il vero problema è che: mi sa che difficilmente otterrai un aggiornamento da parte di Mint: Petra era basata su Ubuntu 13.10, che non è... Leggi tutto
29-9-2014 15:55

@dragonand E' vero, un semplice "upgrade" sarebbe sufficiente per l'aggiornamento del pacchetto "bash". Visto che caiosempronio è abituato a effettuare gli aggiornamenti usando Mint Update, e ricordando che la Mint installata da caiosempronio è una derivata di Ubuntu e che il gestore grafico degli aggiornamenti di... Leggi tutto
29-9-2014 10:26

@caiosempronio Essendo una falla critica, tutte le distribuzioni stanno aggiornando i propri repositories con il pacchetto corretto. Può essere che Mint, per la sua Petra, non abbia ancora provveduto; se è così, lo farà in tempi rapidi, o magari lo ha già fatto. Ripeti l'aggiornamento, controllando in Mint Update che tra i pacchetti che... Leggi tutto
29-9-2014 10:19

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Il numero di multe per l'utilizzo di smartphone alla guida è aumentato del 18% nel primo semestre 2017. Il direttore del servizio di Polizia Stradale propone il ritiro della patente fin dalla prima infrazione, con una sospensione di un minimo di 15 giorni. Sei d'accordo?
No

Mostra i risultati (1557 voti)
Dicembre 2018
L'open Internet rischia di chiudersi
Robot di Amazon manda all'ospedale oltre 20 dipendenti
Le aziende si preparano a sostituire il Wi-Fi con reti 5G private
Lo smartphone con Linux e KDE che non è un telefono cellulare
Hacker viola 50.000 stampanti per invitare tutti su un canale Youtube
Novembre 2018
Facebook e il caso dei messaggi zombie
Malware nei portatili Lenovo, utenti risarciti con 7,3 milioni di dollari
Gioca dal vivo a PUBG e uccide l'amico
Amazon, nomi e indirizzi email degli utenti rivelati per errore
Bethesda e la patch da quasi 50 gigabyte per Fallout 76
Sai che cos'è il phishing? Allora hai più probabilità di cascarci
Il Garante privacy boccia la fattura elettronica
Windows 10, ritorna l'October Update
Tim in piena tempesta: sfiduciato l'amministratore delegato Genish
Windows 10, aggiornamento problematico: non ricorda le associazioni dei file
Tutti gli Arretrati


web metrics