Dopo Heartbleed arriva Shellshock: indicazioni per osX

Trovata una falla nei sistemi che fanno uso di Bash, la shell di comando più diffusa in ambiente Unix e Linux: a rischio anche il sistema operativo OS X di Apple e molti dispositivi connessi, come router, NAS o telecamere IP. Per i computer desktop il pericolo c’è, ma è basso. E per una volta Windows è al sicuro.

E’ già stato rinominato Shellshock bug, con un gioco di parole che richiama il trauma da bombardamento dei soldati durante la Prima Guerra Mondiale o, a scelta, l’omonima serie di videogiochi di guerra. La portata distruttiva del bug della shell Bash su server e macchine connesse e vulnerabili, del resto, potrebbe essere l’equivalente informatico di un raid aereo su vasta scala: milioni di dispositivi su cui girano sistemi basati su UNIX sono potenzialmente a rischio.

Peggio di Heartbleed

La falla scoperta dai ricercatori di Red Hat , casa di sviluppo di una delle più famose distribuzioni di Linux, riguarda la Bourne Again Shell (nota come Bash), storica interfaccia di comando testuale utilizzata da Linux e OS X. Il bug nasce dalle modalità di processamento delle cosiddette variabili d’ambiente da parte della shell e permette a chi conduce un attacco di eseguire codice potenzialmente malevolo all’interno della riga di comando del sistema attaccato, al fine di ottenere un accesso privilegiato o di rubare informazioni private.

Gli addetti ai lavori non hanno dubbi: Shellshock è un bug peggiore di Heartbleed, la grave vulnerabilità della diffusa libreria crittografica OpenSSL scoperta nella primavera dello scorso anno. Il motivo è che, a differenza di OpenSSL, la shell Bash interagisce con altri software in maniera non sempre prevedibile e moltissimi software fanno uso della shell per impartire comandi al sistema. “Per questo motivo,” scrive l’esperto di sicurezza Robert Graham sul suo blog , “non saremo mai davvero in grado di catalogare tutto il software vulnerabile al bug di Bash”.

La natura del bug e il fatto che sia diffuso anche su versioni molto vecchie di Bash lo rendono inoltre particolarmente adatto allo sviluppo e alla diffusione di un worm, vale a dire un malware che può sfruttare la shell per auto-replicarsi e infettare in automatico altre macchine vulnerabili.

Quali sistemi sono a rischio

Il pericolo reale e imminente riguarda soprattutto i server Linux e le versioni server di OS X. Sistemisti e tecnici che gestiscono le macchine di network più o meno grandi devono agire velocemente per assicurarsi che la falla non sia presente sui propri server o, in caso contrario, procedere a chiuderla tramite l’installazione di una più recente versione della shell Bash.

Nel caso dei router, dei sistemi di archiviazione di rete (NAS), delle telecamere IP o di altri dispositivi sempre connessi che utilizzino Bash, il problema si complica. Il bug è saltato fuori solo adesso ma è presente su versioni molto vecchie della shell. Per i dispositivi più recenti i produttori forniranno probabilmente un aggiornamento del firmware che chiuderà la falla, mentre dispositivi più datati ma ancora funzionanti, comunque vulnerabili, difficilmente riceveranno un aggiornamento perché fuori produzione e privi di supporto tecnico.

Per i PC Linux e i Mac dell’utente medio il rischio reale di un attacco rimane basso, soprattutto se sul computer non sono attivi server web raggiungibili pubblicamente o altri servizi avanzati che si interfacciano con il mondo esterno.

L’unico modo per mettere al sicuro in maniera definitiva il proprio Mac o il proprio PC Linux, però, è installare un aggiornamento della shell o del sistema operativo che provveda a chiudere la falla, non ancora disponibile nel momento in cui scriviamo.

A meno di operazioni avanzate di aggiornamento di Bash condotte in autonomia dall’utente, i Mac su cui gira la versione più aggiornata di OS X Mavericks, la 10.9.5, risultano vulnerabili. Apple non ha ancora risposto ad una richiesta di commento sulle tempistiche per la distribuzione di un aggiornamento di sicurezza.

Se avete un sistema Apple ecco come verificare la vulnerabilità

Aprite il terminale e copia&incolla il seguente codice:

env x='() { :;}; echo sistemaVulnerabile' bash -c 'echo unSistemaProtettoNonDeveFarVedereQuestaStringaMaUnErrore'

Se usare brew la soluzione è semplice:

brew update;brew upgrade

Maggiori informazioni al link: http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an/146851#146851

 

 

 

[Da varie fonti. In particolare La Stampa]