ShellShock, falla critica in Linux e Mac OS X

Mezzo miliardo di dispositivi a rischio.



[ZEUS News - www.zeusnews.it - 25-09-2014]

it crowd popcorn GO

C'è una falla seria in innumerevoli server, computer, router, dispositivi connessi a Internet che permette agli aggressori di agire in modo così  devastante che l'ente statunitense NIST ha assegnato a questa vulnerabilità il massimo grado di gravità: dieci su dieci.

Non c'è da stupirsi, dato che la falla, battezzata ShellShock, consente per esempio di prendere il comando di un server Web non aggiornato semplicemente mandandogli un solo comando via Internet.

Secondo l'esperto Robert Graham di Errata Security, ShellShock è sfruttabile per creare un attacco che si autopropaga: “this thing is clearly wormable”. Una sua scansione ha già trovato alcune migliaia di server vulnerabili, e la BBC parla di mezzo miliardo di dispositivi a rischio.

È già in circolazione il primo malware basato su ShellShock (Virustotal; Kernelmode.info) e Trustedsec ha pubblicato una dimostrazione di come questa falla può essere usata per attaccare un computer o altro dispositivo Linux vulnerabile che si collega a una rete Wi-Fi ostile.

Niente panico, comunque: gli utenti Windows sono totalmente immuni dalla falla, a meno che abbiano installato software come per esempio Cygwin: il problema, infatti, riguarda i dispositivi che usano sistemi operativi “Unix-like”, come per esempio Linux, Mac OS X o iOS.

Al momento i Mac risultano formalmente vulnerabili, ma la falla normalmente non è sfruttabile per attacchi dall'esterno se si usa il Mac come workstation (per chi lo usa come server pubblico è tutta un'altra storia). Inoltre gli antivirus riconoscono già questo genere di malware. Se volete sapere se un sito è vulnerabile, c'è un test innocuo presso Brandonpotter.com.

Sondaggio
Qual è l'ambiente Linux che preferisci?
Gnome
Kde
Unity
Xfce
Lxde
Cinnamon
Mate
Un altro
Non uso Linux

Mostra i risultati (5152 voti)
Leggi i commenti (25)

È comunque fondamentale aggiornare i dispositivi vulnerabili installando la correzione (e anche la correzione della correzione), che è quasi sempre già disponibile: un'operazione relativamente facile per i computer, ma chi aggiornerà router, webcam, termostati, smart TV, stampanti, NAS e altri dispositivi online? Improvvisamente l'Internet delle Cose non sembra più una bell'idea come prima.

La falla (CVE-2014-6271) risiede in Bash, l'interprete dei comandi di quasi tutti i sistemi operativi Unix e “Unix-like”. Secondo alcune indicazioni, giace indisturbata da circa vent'anni: un fatterello che non mancherà di riaprire il dibattito sui pro e contro dell'open source in termini di sicurezza (sul quale dico subito che la falla è stata scoperta proprio perché il codice sorgente è ispezionabile e che non sappiamo quante altre falle segrete ci sono nel software chiuso). È presente fino alla versione 4.3 inclusa ed è stata resa pubblica da Stephane Chazelas.

Per sapere se un dispositivo che usa Unix o simile (quindi anche un computer Apple) è vulnerabile, provate a digitare in una finestra di terminale questo comando:

env x='() { :;}; echo vulnerabile' bash -c "echo prova"

Se vi compare un messaggio d'errore del tipo

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'

siete a posto. Se invece compare la parola vulnerabile, siete appunto vulnerabili. Se comunque non vi va di attendere che Apple turi la falla, ci sono delle soluzioni non ufficiali qui.

Maggiori dettagli tecnici sono su The Register, Redhat.com, SlashdotArs Technica, e una delle migliori spiegazioni è quella di Troyhunt.com; in italiano c'è Siamogeek.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Fedora e Ubuntu, basta un file audio per violarli
Bug critico in Linux, da nove anni
Malware, attacchi al Mac moltiplicati nel 2015
Mac vulnerabili anche dopo la riformattazione del disco
Poodle, vulnerabilità in tutti i browser
Violati i server di Yahoo e Winzip
Heartbleed è ancora là fuori. Come difendersi
Heartbleed, scappati i buoi qualcuno finanzia il recinto
Heartbleed, (quasi) tutto OK per Apple
Heartbleed, altre info in breve
Milioni di Android ancora vulnerabili a Heartbleed
Come funziona Heartbleed
Come difendersi da Heartbleed

Commenti all'articolo (ultimi 5 di 26)

A livello teorico dist-upgrade a differenza del semplice comando upgrade permette di rimuovere ed installare nuove dipendenze (se il pacchette ne necessita ovviamente). A livello pratico con il solo upgrade, se ci sono dipendenze, il sistema vi chiederà se volete installare/rimuovere le dipendenze ed a questo punto darà per voi il... Leggi tutto
30-9-2014 09:09

Una domanda agli esperti dell'argomento Come fare per capire se gli apparecchi non pc linux-based (p.es. router, nas, ecc.) sono vulnerabili?
29-9-2014 22:02

Mint ha un sistema di aggiornamenti particolare, visto che divide in fasce di priorità, ma questo particolare aggiornamento dovrebbe averlo già fatto come ha già fatto anche Ubuntu. Molto probabilmente, il vero problema è che: mi sa che difficilmente otterrai un aggiornamento da parte di Mint: Petra era basata su Ubuntu 13.10, che non è... Leggi tutto
29-9-2014 15:55

@dragonand E' vero, un semplice "upgrade" sarebbe sufficiente per l'aggiornamento del pacchetto "bash". Visto che caiosempronio è abituato a effettuare gli aggiornamenti usando Mint Update, e ricordando che la Mint installata da caiosempronio è una derivata di Ubuntu e che il gestore grafico degli aggiornamenti di... Leggi tutto
29-9-2014 10:26

@caiosempronio Essendo una falla critica, tutte le distribuzioni stanno aggiornando i propri repositories con il pacchetto corretto. Può essere che Mint, per la sua Petra, non abbia ancora provveduto; se è così, lo farà in tempi rapidi, o magari lo ha già fatto. Ripeti l'aggiornamento, controllando in Mint Update che tra i pacchetti che... Leggi tutto
29-9-2014 10:19

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te quale tra queste donne andrebbe ricordata maggiormente per le sue scoperte?
Elizabeth Blackwell (fu pioniera nella medicina)
Rachel Carson (lanciò il movimento ambientalista contro i fitofarmaci)
Marie Curie (studiò le radiazioni)
Rosalind Franklin (contribuì alla scoperta del DNA)
Jane Goodall (studiò la vita sociale degli scimpanzé)
Ipazia (astronoma e matematica della Grecia antica)
Ada Lovelace (fu la prima programmatrice di computer)
Barbara McClintock (scoprì l'esistenza dei trasposoni)
Maria Mitchell (scoprì la cometa di Mitchell)
Lise Meitner (elaborò la teoria della fissione nucleare)

Mostra i risultati (1681 voti)
Settembre 2020
Ransomware blocca ospedale, muore una paziente
Veicolo autonomo investe e uccide; guidatore accusato di omicidio colposo
Il bug più serio mai scoperto in Windows
Bug in Immuni vanifica l'efficacia dell'app
Facebook ti paga se disattivi l'account
Amazon cancella 20.000 recensioni fake
Samsung brevetta lo smartphone completamente trasparente
L'app che abilita il God Mode in Windows 10
Intel, i Core di undicesima generazione sorpassano Amd
Windows 10 e il bug che deframmenta di continuo gli Ssd
Agosto 2020
Windows 10 rimuoverà automaticamente le app meno utilizzate
Malware negli smartphone a basso costo ruba dati e denaro
Duplicare una chiave col microfono dello smartphone
Chrome, Url troncati per combattere il phishing
Tim e Wind Tre, crescono le tariffe
Tutti gli Arretrati


web metrics