ShellShock, falla critica in Linux e Mac OS X

Mezzo miliardo di dispositivi a rischio.



[ZEUS News - www.zeusnews.it - 25-09-2014]

it crowd popcorn GO

C'è una falla seria in innumerevoli server, computer, router, dispositivi connessi a Internet che permette agli aggressori di agire in modo così  devastante che l'ente statunitense NIST ha assegnato a questa vulnerabilità il massimo grado di gravità: dieci su dieci.

Non c'è da stupirsi, dato che la falla, battezzata ShellShock, consente per esempio di prendere il comando di un server Web non aggiornato semplicemente mandandogli un solo comando via Internet.

Secondo l'esperto Robert Graham di Errata Security, ShellShock è sfruttabile per creare un attacco che si autopropaga: “this thing is clearly wormable”. Una sua scansione ha già trovato alcune migliaia di server vulnerabili, e la BBC parla di mezzo miliardo di dispositivi a rischio.

È già in circolazione il primo malware basato su ShellShock (Virustotal; Kernelmode.info) e Trustedsec ha pubblicato una dimostrazione di come questa falla può essere usata per attaccare un computer o altro dispositivo Linux vulnerabile che si collega a una rete Wi-Fi ostile.

Niente panico, comunque: gli utenti Windows sono totalmente immuni dalla falla, a meno che abbiano installato software come per esempio Cygwin: il problema, infatti, riguarda i dispositivi che usano sistemi operativi “Unix-like”, come per esempio Linux, Mac OS X o iOS.

Al momento i Mac risultano formalmente vulnerabili, ma la falla normalmente non è sfruttabile per attacchi dall'esterno se si usa il Mac come workstation (per chi lo usa come server pubblico è tutta un'altra storia). Inoltre gli antivirus riconoscono già questo genere di malware. Se volete sapere se un sito è vulnerabile, c'è un test innocuo presso Brandonpotter.com.

Sondaggio
Qual è l'ambiente Linux che preferisci?
Gnome
Kde
Unity
Xfce
Lxde
Cinnamon
Mate
Un altro
Non uso Linux

Mostra i risultati (4924 voti)
Leggi i commenti (25)

È comunque fondamentale aggiornare i dispositivi vulnerabili installando la correzione (e anche la correzione della correzione), che è quasi sempre già disponibile: un'operazione relativamente facile per i computer, ma chi aggiornerà router, webcam, termostati, smart TV, stampanti, NAS e altri dispositivi online? Improvvisamente l'Internet delle Cose non sembra più una bell'idea come prima.

La falla (CVE-2014-6271) risiede in Bash, l'interprete dei comandi di quasi tutti i sistemi operativi Unix e “Unix-like”. Secondo alcune indicazioni, giace indisturbata da circa vent'anni: un fatterello che non mancherà di riaprire il dibattito sui pro e contro dell'open source in termini di sicurezza (sul quale dico subito che la falla è stata scoperta proprio perché il codice sorgente è ispezionabile e che non sappiamo quante altre falle segrete ci sono nel software chiuso). È presente fino alla versione 4.3 inclusa ed è stata resa pubblica da Stephane Chazelas.

Per sapere se un dispositivo che usa Unix o simile (quindi anche un computer Apple) è vulnerabile, provate a digitare in una finestra di terminale questo comando:

env x='() { :;}; echo vulnerabile' bash -c "echo prova"

Se vi compare un messaggio d'errore del tipo

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'

siete a posto. Se invece compare la parola vulnerabile, siete appunto vulnerabili. Se comunque non vi va di attendere che Apple turi la falla, ci sono delle soluzioni non ufficiali qui.

Maggiori dettagli tecnici sono su The Register, Redhat.com, SlashdotArs Technica, e una delle migliori spiegazioni è quella di Troyhunt.com; in italiano c'è Siamogeek.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Fedora e Ubuntu, basta un file audio per violarli
Bug critico in Linux, da nove anni
Malware, attacchi al Mac moltiplicati nel 2015
Mac vulnerabili anche dopo la riformattazione del disco
Poodle, vulnerabilità in tutti i browser
Violati i server di Yahoo e Winzip
Heartbleed è ancora là fuori. Come difendersi
Heartbleed, scappati i buoi qualcuno finanzia il recinto
Heartbleed, (quasi) tutto OK per Apple
Heartbleed, altre info in breve
Milioni di Android ancora vulnerabili a Heartbleed
Come funziona Heartbleed
Come difendersi da Heartbleed

Commenti all'articolo (ultimi 5 di 26)

A livello teorico dist-upgrade a differenza del semplice comando upgrade permette di rimuovere ed installare nuove dipendenze (se il pacchette ne necessita ovviamente). A livello pratico con il solo upgrade, se ci sono dipendenze, il sistema vi chiederà se volete installare/rimuovere le dipendenze ed a questo punto darà per voi il... Leggi tutto
30-9-2014 09:09

Una domanda agli esperti dell'argomento Come fare per capire se gli apparecchi non pc linux-based (p.es. router, nas, ecc.) sono vulnerabili?
29-9-2014 22:02

Mint ha un sistema di aggiornamenti particolare, visto che divide in fasce di priorità, ma questo particolare aggiornamento dovrebbe averlo già fatto come ha già fatto anche Ubuntu. Molto probabilmente, il vero problema è che: mi sa che difficilmente otterrai un aggiornamento da parte di Mint: Petra era basata su Ubuntu 13.10, che non è... Leggi tutto
29-9-2014 15:55

@dragonand E' vero, un semplice "upgrade" sarebbe sufficiente per l'aggiornamento del pacchetto "bash". Visto che caiosempronio è abituato a effettuare gli aggiornamenti usando Mint Update, e ricordando che la Mint installata da caiosempronio è una derivata di Ubuntu e che il gestore grafico degli aggiornamenti di... Leggi tutto
29-9-2014 10:26

@caiosempronio Essendo una falla critica, tutte le distribuzioni stanno aggiornando i propri repositories con il pacchetto corretto. Può essere che Mint, per la sua Petra, non abbia ancora provveduto; se è così, lo farà in tempi rapidi, o magari lo ha già fatto. Ripeti l'aggiornamento, controllando in Mint Update che tra i pacchetti che... Leggi tutto
29-9-2014 10:19

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Recenti scoperte genetiche affermano che l'invecchiamento è controllabile e quindi potremo vivere tutti più a lungo. Cosa ne pensi?
E' una grande scoperta, sono contento di vivere più a lungo.
L'importante è poter vivere bene e in salute.
Trovo che la genetica si stia spingendo oltre i limiti umani.
Significa che dovremo tutti lavorare più a lungo e andare in pensione più tardi.
Questo contribuirà al sovraffollamento del pianeta.

Mostra i risultati (5525 voti)
Dicembre 2019
Il software per ricevere gli update di Windows 7 senza pagare
Plex sfida Netflix con migliaia di film e serie TV gratis per tutti
Aggiornare gratis a Windows 10 si può ancora, ecco come
Scovare il Product Key di Windows usando solo il sistema operativo
Novembre 2019
WhatsApp, arrivano i messaggi che si autodistruggono
Skimmer virtuali sempre più diffusi, a rischio i dati delle carte di credito
Il pickup elettrico di Tesla debutta con una figuraccia
Falla nell'app fotocamera di Android, milioni di smartphone a rischio
Windows 10, iniziano gli aggiornamenti forzati
Facebook attiva di nascosto la fotocamera dell'iPhone
Apple, deciso in una riunione segreta il dispositivo che sostituirà l'iPhone
Bug in Firefox, truffatori già all'opera
Quattordicenne risolve il problema dei punti ciechi nelle auto
Ottobre 2019
Il grande database della cacca cerca volontari
Google, i domini .new diventano scorciatoie
Tutti gli Arretrati


web metrics