ShellShock, falla critica in Linux e Mac OS X

Mezzo miliardo di dispositivi a rischio.



[ZEUS News - www.zeusnews.it - 25-09-2014]

it crowd popcorn GO

C'è una falla seria in innumerevoli server, computer, router, dispositivi connessi a Internet che permette agli aggressori di agire in modo così  devastante che l'ente statunitense NIST ha assegnato a questa vulnerabilità il massimo grado di gravità: dieci su dieci.

Non c'è da stupirsi, dato che la falla, battezzata ShellShock, consente per esempio di prendere il comando di un server Web non aggiornato semplicemente mandandogli un solo comando via Internet.

Secondo l'esperto Robert Graham di Errata Security, ShellShock è sfruttabile per creare un attacco che si autopropaga: “this thing is clearly wormable”. Una sua scansione ha già trovato alcune migliaia di server vulnerabili, e la BBC parla di mezzo miliardo di dispositivi a rischio.

È già in circolazione il primo malware basato su ShellShock (Virustotal; Kernelmode.info) e Trustedsec ha pubblicato una dimostrazione di come questa falla può essere usata per attaccare un computer o altro dispositivo Linux vulnerabile che si collega a una rete Wi-Fi ostile.

Niente panico, comunque: gli utenti Windows sono totalmente immuni dalla falla, a meno che abbiano installato software come per esempio Cygwin: il problema, infatti, riguarda i dispositivi che usano sistemi operativi “Unix-like”, come per esempio Linux, Mac OS X o iOS.

Al momento i Mac risultano formalmente vulnerabili, ma la falla normalmente non è sfruttabile per attacchi dall'esterno se si usa il Mac come workstation (per chi lo usa come server pubblico è tutta un'altra storia). Inoltre gli antivirus riconoscono già questo genere di malware. Se volete sapere se un sito è vulnerabile, c'è un test innocuo presso Brandonpotter.com.

Sondaggio
Qual è l'ambiente Linux che preferisci?
Gnome
Kde
Unity
Xfce
Lxde
Cinnamon
Mate
Un altro
Non uso Linux

Mostra i risultati (4628 voti)
Leggi i commenti (25)

È comunque fondamentale aggiornare i dispositivi vulnerabili installando la correzione (e anche la correzione della correzione), che è quasi sempre già disponibile: un'operazione relativamente facile per i computer, ma chi aggiornerà router, webcam, termostati, smart TV, stampanti, NAS e altri dispositivi online? Improvvisamente l'Internet delle Cose non sembra più una bell'idea come prima.

La falla (CVE-2014-6271) risiede in Bash, l'interprete dei comandi di quasi tutti i sistemi operativi Unix e “Unix-like”. Secondo alcune indicazioni, giace indisturbata da circa vent'anni: un fatterello che non mancherà di riaprire il dibattito sui pro e contro dell'open source in termini di sicurezza (sul quale dico subito che la falla è stata scoperta proprio perché il codice sorgente è ispezionabile e che non sappiamo quante altre falle segrete ci sono nel software chiuso). È presente fino alla versione 4.3 inclusa ed è stata resa pubblica da Stephane Chazelas.

Per sapere se un dispositivo che usa Unix o simile (quindi anche un computer Apple) è vulnerabile, provate a digitare in una finestra di terminale questo comando:

env x='() { :;}; echo vulnerabile' bash -c "echo prova"

Se vi compare un messaggio d'errore del tipo

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'

siete a posto. Se invece compare la parola vulnerabile, siete appunto vulnerabili. Se comunque non vi va di attendere che Apple turi la falla, ci sono delle soluzioni non ufficiali qui.

Maggiori dettagli tecnici sono su The Register, Redhat.com, SlashdotArs Technica, e una delle migliori spiegazioni è quella di Troyhunt.com; in italiano c'è Siamogeek.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Fedora e Ubuntu, basta un file audio per violarli
Bug critico in Linux, da nove anni
Malware, attacchi al Mac moltiplicati nel 2015
Mac vulnerabili anche dopo la riformattazione del disco
Poodle, vulnerabilità in tutti i browser
Violati i server di Yahoo e Winzip
Heartbleed è ancora là fuori. Come difendersi
Heartbleed, scappati i buoi qualcuno finanzia il recinto
Heartbleed, (quasi) tutto OK per Apple
Heartbleed, altre info in breve
Milioni di Android ancora vulnerabili a Heartbleed
Come funziona Heartbleed
Come difendersi da Heartbleed

Commenti all'articolo (ultimi 5 di 26)

A livello teorico dist-upgrade a differenza del semplice comando upgrade permette di rimuovere ed installare nuove dipendenze (se il pacchette ne necessita ovviamente). A livello pratico con il solo upgrade, se ci sono dipendenze, il sistema vi chiederà se volete installare/rimuovere le dipendenze ed a questo punto darà per voi il... Leggi tutto
30-9-2014 09:09

Una domanda agli esperti dell'argomento Come fare per capire se gli apparecchi non pc linux-based (p.es. router, nas, ecc.) sono vulnerabili?
29-9-2014 22:02

Mint ha un sistema di aggiornamenti particolare, visto che divide in fasce di priorità, ma questo particolare aggiornamento dovrebbe averlo già fatto come ha già fatto anche Ubuntu. Molto probabilmente, il vero problema è che: mi sa che difficilmente otterrai un aggiornamento da parte di Mint: Petra era basata su Ubuntu 13.10, che non è... Leggi tutto
29-9-2014 15:55

@dragonand E' vero, un semplice "upgrade" sarebbe sufficiente per l'aggiornamento del pacchetto "bash". Visto che caiosempronio è abituato a effettuare gli aggiornamenti usando Mint Update, e ricordando che la Mint installata da caiosempronio è una derivata di Ubuntu e che il gestore grafico degli aggiornamenti di... Leggi tutto
29-9-2014 10:26

@caiosempronio Essendo una falla critica, tutte le distribuzioni stanno aggiornando i propri repositories con il pacchetto corretto. Può essere che Mint, per la sua Petra, non abbia ancora provveduto; se è così, lo farà in tempi rapidi, o magari lo ha già fatto. Ripeti l'aggiornamento, controllando in Mint Update che tra i pacchetti che... Leggi tutto
29-9-2014 10:19

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te quale diventerà realtà per prima?
Le aule intelligenti: conosceranno gli alunni e offriranno un'esperienza di apprendimento personalizzata ed efficace.
Torneremo a fare la spesa sotto casa: i negozi uniranno la varietà degli acquisti online al piacere di fare acquisti direttamente in un posto conosciuto.
Useremo il DNA per stabilire terapie su misura: cloud computing e computer congnitivi rendereanno l'esame del DNA veloce ed economico.
Un guardiano digitale sostituirà le password: conoscerà le nostre abitudini e individuare i tentativi di furto d'identità.
Smart City: le città faranno arrivare sugli smartphone dei cittadini informazioni personalizzate basate sulle abitudini e le preferenze degli abitanti stessi.

Mostra i risultati (1122 voti)
Aprile 2019
Galaxy Fold, lo schermo pieghevole si rompe quasi subito
È possibile rilevare telecamere nascoste in una camera d'albergo?
La falla in IE che vi ruba i dati anche se non lo usate
Windows, gli aggiornamenti di aprile bloccano i PC con Avast e Sophos
Arrestato Assange, il commento di Paolo Attivissimo
Assange arrestato: ecco cosa rischia
Windows XP, anche l'ultima versione supportata getta la spugna
Nessuno usa la rimozione sicura USB: cambia la policy di Windows
La VPN per chi non sa che cosa sia una VPN
Facebook, i dati di mezzo miliardo di utenti accessibili pubblicamente
Anche Nokia ha il suo smartphone col buco
Asus, utenti attaccati tramite aggiornamenti di sistema
Marzo 2019
L'estensione che ripristina i risultati censurati da Google
UE, approvata la riforma del diritto d'autore, compresi gli articoli 11 e 13
Tecnico IT licenziato si vendica cancellando 23 server
Tutti gli Arretrati


web metrics