Alfonso Maruccia

Il nuovo bug di BASH Ŕ peggio di Heartbleed?

Scovato un pernicioso baco nella popolare shell per sistemi *nix. Un problema dai contorni ancora incerti. E che soprattutto potrebbe coinvolgere un numero enorme di server in circolazione

Roma - La shell Bash è affetta da una grave vulnerabilità, un baco talmente grave da guadagnarsi la classificazione di massima pericolosità da parte del NIST e con effetti sul medio/lungo periodo potenzialmente devastanti ancora tutti da valutare. Il baco consiste nella non corretta gestione di un particolare tipo di variabile d'ambiente, una variabile che può contenere codice che verrà eseguito immediatamente senza alcun controllo da parte della shell. Quel che è peggio, e la probabile ragione della severità dell'allarme, è il fatto che il baco può essere sfruttato per inviare comandi potenzialmente malevoli a un server agendo da remoto.

Bash (o Bourne Again Shell) è un interprete di comandi per ambienti *nix "universale", un componente di sistema che risulta cioè installato su ogni genere di sistema operativo basato su Unix o Linux; coinvolti nella crisi ci sono anche i sistemi di Apple (Mac OS X), mentre almeno per questa volta i sistemi Windows risultano sostanzialmente immuni a meno di aver installato componenti provenienti dal mondo FOSS (Cgywin).

Server Web Apache, OpenSSH, DHCP, niente si salva dal baco di Bash: un cyber-criminale potrebbe penetrare un network di primo piano installando un server DHCP malevolo, suggeriscono gli esperti, e a quel punto sarebbe "game over" per la sicurezza dell'intera rete. La nuova vulnerabilità è già stato classificata come una crisi potenzialmente peggiore del cataclisma Heartbleed, e gli effetti di questa nuova crisi potrebbero farsi sentire nei mesi e anni a venire come e più di quanto successo con il bug nella libreria OpenSSL.
Il bug colpisce le versioni di Bash dalla 1.14 alla 4.3 inclusa, e già esistono patch di aggiornamento per le più popolari distro Linux come Red Hat Enterprise, Fedora, CentOS, Ubuntu e Debian. Le contromisure sono scattate nel giro di un giorno, ma a quanto pare la crisi è tutto fuorché contenuta.

Assieme agli aggiornamenti per gli OS basati su Linux sono infatti arrivati i primi casi di codice proof-of-concept sviluppato per sfruttare il bug di Bash, malware e attacchi "in the wild" alla caccia dei server vulnerabili accessibili dalla Internet pubblica. A una prima scansione online sulla porta 80 (HTTP) un ricercatore ha scovato almeno 3.000 istanze vulnerabili, ma una scansione in maggior profondità (soprattutto su porte diverse) dovrebbe fornire risultati ancora più preoccupanti.

Alfonso Maruccia
Notizie collegate
339 Commenti alla Notizia Il nuovo bug di BASH Ŕ peggio di Heartbleed?
Ordina
  • ... di essere arrivato tardi!
    Massimino che ricompila... ROTFL!
    non+autenticato
  • - Scritto da: 2014
    > http://www.fireeye.com/blog/uncategorized/2014/09/
    > Mi raccomando ricompilate bene questa voltaA bocca aperta

    Non ce la faranno mai....

    Sono troppo impegnati sul minimizzatore al momento.
    maxsix
    8899
  • - Scritto da: maxsix
    > - Scritto da: 2014

    > http://www.fireeye.com/blog/uncategorized/2014/09/
    > > Mi raccomando ricompilate bene questa volta
    >A bocca aperta

    > Non ce la faranno mai....

    > Sono troppo impegnati sul minimizzatore al
    > momento.

    Veramente siamo ancora aspettando che tu ci mostri quali danni avrebbe causato questo baco, nell'attesa ci leggiamo altro: http://www.tomshw.it/cont/news/bug-in-ios-8-docume...
    non+autenticato
  • - Scritto da: 2014
    > http://www.fireeye.com/blog/uncategorized/2014/09/
    > Mi raccomando ricompilate bene questa voltaA bocca aperta

    Ci sarebbe sempre il piccolo particolare: "If the CGI content uses BASH at any point, by calling BASH directly, through a sub-process call, or by invoking a shell command", che renderebbe l'eventuale autore di quest'obbrobrio meritevole di estinzione.
    La gente un po' più seria, si sta facendo grasse risate nel frattempo, maledicendo solamente i maledetti lameroni che, più che qualche dos, al momento non fanno.
    Intanto la trapanata su icloud continua indisturbata e i melomani, schiavi pavloviani, sono ancora su questo 3d a sbavare per shellshock Rotola dal ridere
    non+autenticato
  • So' ragazzi!
    Quando mai il giornalista medio si è posto il problema di capire?
    non+autenticato
  • - Scritto da: Six iGiaguar e un triciclo
    > So' ragazzi!
    > Quando mai il giornalista medio si è posto il
    > problema di
    > capire?

    Ebola è un termine tristemente noto in que'ultimo periodo e il giornalista geniale ha pensato bene di utilizzare il termine in questo contesto.
    Shellshock è un "virus" (è già questo la dice lunga... Rotola dal ridere) detto "Ebola del computer". Ma detto da chi?
    non+autenticato
  • - Scritto da: prugnoso
    > - Scritto da: Six iGiaguar e un triciclo

    > Ebola è un termine tristemente noto in que'ultimo
    > periodo e il giornalista geniale ha pensato bene
    > di utilizzare il termine in questo contesto.

    Non mi stupirebbe che avessero scritto "bomba d'acqua"...

    Sai quando un giornalisti copiaincollano un termine nuovo poi lo usano tutti a sproposito per un po'.
    non+autenticato
  • - Scritto da: Rettiliani
    > Non mi stupirebbe che avessero scritto "bomba
    > d'acqua"...

    mi hai letto nel pensiero, cosa sei, un alieno?Sorpresa

    >
    > Sai quando un giornalisti copiaincollano un
    > termine nuovo poi lo usano tutti a sproposito per
    > un
    > po'.
    non+autenticato
  • - Scritto da: 2014
    > https://www.trustedsec.com/september-2014/shellsho

    Che bello, vuol dire che da intranet posso bucare i pc dei miei user di cui ho gia' l'accesso amministrativo...
    non+autenticato
  • - Scritto da: Sistemista
    > - Scritto da: 2014
    > >
    > https://www.trustedsec.com/september-2014/shellsho
    >
    > Che bello, vuol dire che da intranet posso bucare
    > i pc dei miei user di cui ho gia' l'accesso
    > amministrativo...
    era un esempio...
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: Sistemista
    > > - Scritto da: 2014

    > https://www.trustedsec.com/september-2014/shellsho

    > > Che bello, vuol dire che da intranet
    > > posso bucare i pc dei miei user di cui
    > > ho gia' l'accesso amministrativo...

    > era un esempio...

    Ne sto vedendo un po' di questi esempi: proof of concept inapplicabili nel contesto reale.
    non+autenticato
  • - Scritto da: Sistemista
    > - Scritto da: 2014
    > > - Scritto da: Sistemista
    > > > - Scritto da: 2014
    >
    > >
    > https://www.trustedsec.com/september-2014/shellsho
    >
    > > > Che bello, vuol dire che da intranet
    > > > posso bucare i pc dei miei user di cui
    > > > ho gia' l'accesso amministrativo...
    >
    > > era un esempio...
    >
    > Ne sto vedendo un po' di questi esempi: proof of
    > concept inapplicabili nel contesto
    > reale.
    Quelli buoni li usano, non te li regalanoA bocca aperta
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: Sistemista

    > > Ne sto vedendo un po' di questi esempi:
    > > proof of concept inapplicabili nel contesto
    > > reale.
    > Quelli buoni li usano, non te li regalanoA bocca aperta

    Vero: stiamo di nuovo prendendo il controllo del pianeta, tutto grazie a questo baco che abbiamo causato drogando il programmatore originale con le scie chimiche.
    non+autenticato
  • - Scritto da: Rettiliani
    > - Scritto da: 2014
    > > - Scritto da: Sistemista
    >
    > > > Ne sto vedendo un po' di questi esempi:
    > > > proof of concept inapplicabili nel
    > contesto
    > > > reale.
    > > Quelli buoni li usano, non te li regalanoA bocca aperta
    >
    > Vero: stiamo di nuovo prendendo il controllo del
    > pianeta, tutto grazie a questo baco che abbiamo
    > causato drogando il programmatore originale con
    > le scie
    > chimiche.
    Leggi le ultime righe:
    https://blogs.akamai.com/2014/09/environment-bashi...
    magari ti passa la voglia di far lo spiritoso
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: Rettiliani
    > > - Scritto da: 2014
    > > > - Scritto da: Sistemista
    > >
    > > > > Ne sto vedendo un po' di questi
    > esempi:
    > > > > proof of concept inapplicabili nel
    > > contesto
    > > > > reale.
    > > > Quelli buoni li usano, non te li
    > regalano
    >A bocca aperta
    > >
    > > Vero: stiamo di nuovo prendendo il controllo
    > del
    > > pianeta, tutto grazie a questo baco che
    > abbiamo
    > > causato drogando il programmatore originale
    > con
    > > le scie
    > > chimiche.
    > Leggi le ultime righe:
    > https://blogs.akamai.com/2014/09/environment-bashi
    > magari ti passa la voglia di far lo spiritoso

    letto: trattasi della stessa minestra ripetuta ancora una volta

    posta qualcosa di interessante, non voglio perdere tempo con cose già viste
    non+autenticato
  • - Scritto da: Sistemista
    > - Scritto da: 2014
    > >
    > https://www.trustedsec.com/september-2014/shellsho
    >
    > Che bello, vuol dire che da intranet posso bucare
    > i pc dei miei user di cui ho gia' l'accesso
    > amministrativo...

    Eh sì... perché le intranet notoriamente sono fatte da utenti che hanno accesso amministrativo a tutte le macchine presenti.

    Ma quanto siete ridicoli, QUANTO?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Sistemista
    > > - Scritto da: 2014
    > > >
    > >
    > https://www.trustedsec.com/september-2014/shellsho
    > >
    > > Che bello, vuol dire che da intranet posso
    > bucare
    > > i pc dei miei user di cui ho gia' l'accesso
    > > amministrativo...
    >
    > Eh sì... perché le intranet notoriamente sono
    > fatte da utenti che hanno accesso amministrativo
    > a tutte le macchine presenti.
    >
    >
    > Ma quanto siete ridicoli, QUANTO?

    Credo che parli come sysadmin...
    non+autenticato
  • Infatti nella pratica è innocuo.
    Non ha exploitato un cazzo.
    Se noti, la shell invocata ha il "$", non il "#". Il che vuol dire che non ha privilegi per manomettere il sistema.
    Te la puoi tranquillamente fare a mano.
    In soldoni, o sfrutti una vulnerabilità per una privilege escalation, oppure ti attacchi.
    Inoltre, anche se sfruttassi la privilege escalation, se il servizio è in un container (come lo è in tutti i server gestiti seriamente) hai possibilità di manovra pari a zero. Il server rimane comunque in piedi.
    E ripeto: su Solaris, ci sono pure le immutable zone.

    Puoi attaccare giusto un server gestito male, ma quello è un problema che non ci riguarda.

    Quel link dà ragione al post in cui ho detto che è un PoC. Roba fattibile sulla carta, ma che nella realtà trova molta meno applicazione di quello che si pensi.
    -----------------------------------------------------------
    Modificato dall' autore il 26 settembre 2014 15.00
    -----------------------------------------------------------
    Darwin
    5126
  • Chi assicura che il modello "Security through obscurity" usato da Microsoft sia sicuro al 100%? Chi non ci assicura che non nascondino qualche bug, che magari risale a NT4, per qualsiasi motivo? (Troppo difficoltoso rimuoverlo, questioni di (in)sicurezza nazionale, ecc....)?

    Almeno sotto il modello del Free Software prima o poi i bachi vengono al pettine.
    non+autenticato
  • - Scritto da: Daniza nel panino
    > Chi assicura che il modello "Security through
    > obscurity" usato da Microsoft sia sicuro al 100%?
    > Chi non ci assicura che non nascondino qualche
    > bug, che magari risale a NT4, per qualsiasi
    > motivo? (Troppo difficoltoso rimuoverlo,
    > questioni di (in)sicurezza nazionale,
    > ecc....)?
    >
    > Almeno sotto il modello del Free Software prima o
    > poi i bachi vengono al
    > pettine.

    Dalla 1.14 alla 4.3? Poi, molto molto MOLTO poi.
    non+autenticato
  • - Scritto da: Darth Vader

    > > Almeno sotto il modello del Free Software prima o
    > > poi i bachi vengono al pettine.
    >
    > Dalla 1.14 alla 4.3? Poi, molto molto
    > MOLTO
    poi.

    Dagli tempo...

    Questi continuano a straparlare di open source, senza avere una reale comprensione di quali siano i reali benefici dell'open source.
    FDG
    10893
  • Io personalmente me li godo da 16 anni questi benefici...

    Non ho speso in licenze di sistemi operativi opensource. Ho potuto studiare programmazione e metterla in pratica con tutti gli strumenti gratuiti che ci sono.

    Ho imparato concetti di rete e perfino di cluster con tutta la documentazione e sempre con strumenti gratuiti.

    E con Arduino mi diletto anche con l'automazione e la robotica al solo costo dell'hardware.

    No guarda semmai sono proprio gli altri a non rendersi conto dei vantaggi dell'opensource e del free software.
    iRoby
    6862
  • - Scritto da: iRoby

    > ...

    Bene, benissimo. E non penso tu sia il solo. E' strano però che persone come te a volte non riescano a fare 2 + 2. Sarà che queste persone su certe questioni difettano di obiettività?

    Tutti quanti più o meno lo facciamo. Basta però rendersene conto e tentare di migliorare.
    FDG
    10893
  • - Scritto da: FDG

    > Questi continuano a straparlare di open source,
    > senza avere una reale comprensione di quali siano
    > i reali benefici dell'open
    > source.

    apple lo sa, ovvero un modo furbo per fare miliardi su software scritto da altriA bocca aperta
    non+autenticato
  • - Scritto da: Daniza nel panino

    Arrabbiato
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | Successiva
(pagina 1/5 - 23 discussioni)