Tutto quello che devi sapere su ShellShock

Bash

La recente vulnerabilità ShellShock (CVE-2014-6271) sta scatenando il putiferio su Web, si il putiferio, perchè si legge ogni genere di informazioni! I terroristi, gli hacker, gli smanettoni e chi più ne ha più ne metta potrebbero sfruttare questa vulnerabilità per far esplodere testati nucleari o qualsiasi altra cosa peggiore che possa esistere! Balle! 😀

ShellShock è una vulnerabilità e come tutte deve essere presa in considerazione e valutata, a volte le vulnerabilità vengono sottovalutate mentre in questa caso è stata soppravalutata! Ma guardiamo questa recente scoperta da un lato tecnico e speriamo di fare un po’ di chiarezza sperando poi di vedere meno disinformazione sulla rete!

ShellShock o Bash Bug come voi vogliate chiamarlo è identificato con il codice CVE-2014-6271 e CVE-2014-7169 ed affiggle un tipo di shell denominata appunto Bash, shell molto usata all’interno dei sistei Unix e Linux. La shell, in informatica, è la parte di un sistema operativo che permette agli utenti di interagire con il sistema stesso, impartendo comandi e richiedendo l’avvio di altri programmi. Insieme al kernel costituisce una delle componenti principali di un sistema operativo. Il suo nome (dall’inglese shell, guscio) deriva dal fatto che questa componente viene considerata l’involucro, la parte visibile del sistema ed è dunque definibile come l’interfaccia utente o il programma software che la rende possibile.

La Bash Shell in questione è tra quelle più datate ed installata ormai di default sulle principali distribuzioni GNU/Linux, la vulnerabilità scoperta dal ricercatore Stéphane Shazelas potrebbe dare la possibilità di attaccare un sistema basato su Linux e Unix (pertanto anche i sistemi Mac OS X).

In un caso reale la vulnerabilità può essere sfruttata tramite un attacco remoto attraverso i Siti/Server Web che utilizzano CGI, un sistema ormai in disuso per eseguire script che generano una risposta all’utente che sta visualizzando il sito internet. È uno standard che venne implentato nel 1993 e che oggi vede uno scarso utilizzo nei siti web, CGI è attualmente più diffuso nel mondo Embedded come i Router di casa, elettrodomestici 2.0, ecc ecc. I dispositivi Embedded che sfruttano BusyBox non sono vulnerabili.

Un attaccante potrebbe quindi attaccare un sito web che ancora oggi sfrutta lo standard CGI, ottenere una shell remota sul server e quindi sfuttare la macchina a proprio piacimento? Ni, se il server web è ben configurato l’attaccante può certamente ottenere una shell remota ma con i soli permessi di un utente guest e non con i permessi di un amministratore di sistema, certamente se poi il server in questione ha altre vulnerabilità attraverso uno o pù exploit è possibile fare un escalation ed ottenere i permessi di amministratore e quindi il controllo completo della macchina.

Se invece la macchina è esclusivamente afflitta dall’exploit Bash un utente malintenzionato potrebbe sfruttarla per lanciare attacchi DDoS, questo a mio avviso è il vero caso reale! E siccome ad oggi vi è un consistente mercato nero alle spalle degli attacchi DDoS è probabile che questo exploit venga sfruttato principalmente per lanciare DDoS, ma è indubbiamente più difficile che venga usato per sottrarre informazioni confidenziali o riservate dai siti web vulnerabili!

In definitiva la vulnerabilità ShellShock è importante e consiglio a tutti di aggiornare il pacchetto Bash quanto prima sui propri server, ma non allarmiamoci leggendo certi articoli dei quotidiani Italiani! Non rischiamo l’esplosione di una testata nucleare per colpa di ShellShock!