Alfonso Maruccia

Shellshock, ancora patch e allarmi

Apple rilascia la giÓ preannunciata patch per chiudere la falla di Bash sui sistemi OS X, mentre le societÓ di sicurezza evidenziano il crescente interesse dei cyber-criminali per la vulnerabilitÓ. Al confronto, Heartbleed era uno scherzo

Roma - Se in precedenza Apple aveva descritto il pericolo Shellshock su OS X come un'eventualità dalla portata limitata, ora arriva la distribuzione di una patch che dovrebbe chiudere definitivamente quella pur minima finestra di rischio per utenti di sistemi Mac.

Cupertino ha quindi distribuito il suo OS X Bash Update 1.0 per sistemi OS X 10.9.5, 10.8.5 e 10.7.5, un aggiornamento che aggiorna la shell testuale Bash e chiude la oramai nota vulnerabilità nella gestione non corretta delle variabili d'ambiente contenenti comandi eseguibili al posto di stringhe di testo.

L'update serve a correggere un bug che Apple aveva descritto come non particolarmente pericoloso per ambienti Mac, visto che un suo eventuale sfruttamento da parte di malintenzionati sarebbe potuto avvenire solo nel caso in cui l'utente avesse configurato i servizi Unix avanzati.
OS X dovrebbe essere al sicuro, ma non per questo il rischio Shellshock è destinato a risolversi in fretta: le società e i ricercatori di sicurezza hanno monitorato Internet individuando ogni genere di attacchi e traffico malevolo progettato per sfruttare il baco di Bash, un campionario che al momento include attacchi DDoS, dropper di malware, backdoor, IRC bot e altro ancora.

Il numero di patch ufficiali recentemente distribuite per chiudere i bug di Bash ammonta ora a tre, e l'attività malevola già osservata nelle prime 48 ore dalla scoperta di Shellshock non è nulla in confronto a quella che sta montando: attacchi e operazioni di cyber-crimine molto più gravi sono in preparazione, avvertono gli esperti.

Alfonso Maruccia
Notizie collegate
27 Commenti alla Notizia Shellshock, ancora patch e allarmi
Ordina
  • Toh, ma guarda un po'?! Continuo a fare acquisti online, il mio router non è imploso (non usa bash, in compenso ha una backdoor made in USACon la lingua fuori), tutti i siti monnezza che vedevo prima sono ancora in piedi... ai tempi di blaster e sasser non andava na mazza sul serio, però li si minimizzava, anche quando migliaia di uffici postali rimasero al tappeto.
    non+autenticato
  • Maruccia si diverte un mondo, ma è tutto tempo perso.
    Si sta parlando di aria fritta. Con grande disperazione di molti, non è successo nulla.
    Sarà il caso di farla finita con questa storia.
    non+autenticato
  • ...che aspetto di essere bucato.
    Purtroppo non è nostra abitudine esporre servizi non hardenizzati che chiamino alla ca220 di cane script shell.
    Finora ho solo visto, articoli sparaflame, un sacco di chiacchiere inconcludenti, trollate a pacchi, tanta rabbia repressa e puttaname vario.
    La verità è che i danni subiti ammontano a 0!
    L'unica cosa che s'è vista finora è un aumento fisiologico degli attacchi dos dovuti principalmente ai lameroni di turno che vogliono fare gli hacker con i loro script-kiddie.
    Certo, se il server di riferimento per il tipico trollone di PI, è quello del pc di casa con uno xampp esposto, nemmeno questa Clicca per vedere le dimensioni originali sarebbe sufficiente a riprodurre lo stesso grado di perforazione subita.
    non+autenticato
  • per i paranoici un bel
    # chsh /bin/zsh
    anche se come detto da molti utenti, per essere colpiti dal bug ve lo dovete proprio meritare.

    Comunque: https://www.techdirt.com/articles/20130614/0211022...
    non+autenticato
  • >Comunque https://www.techdirt.com/articles/20130614/0211022...
    ...sempre SE e QUANDO li patchano...Sorride
    non+autenticato
  • naaah, i soliti noti di PI ti diranno che è tutto un gomblotto da kilo, e nel mentre, si sistemano il cappellino di stagnolaSorride
    non+autenticato
  • gomblotto ai danni di M$, ovviamente....
    non+autenticato
  • E che risolvi cambiando la shell del tuo utente quando i servizi usano /bin/sh che è un link a /bin/bash nella maggiorparte dei casi?
    - Scritto da: For teh lulz
    > per i paranoici un bel
    > # chsh /bin/zsh
    > anche se come detto da molti utenti, per essere
    > colpiti dal bug ve lo dovete proprio
    > meritare.
    >
    > Comunque:
    > https://www.techdirt.com/articles/20130614/0211022
    non+autenticato
  • da piccolo sistemista quando uscì la notizia su hacker news ho avuto un momento di panico. Avevo fatto l'hardening del mio vps debian già fin dal momento dell'installazione del tutto, nel 2012, ed è online (sempre aggiornato e senza un solo reboot) da allora... Di tentativi di intrusione ne ho visti, sui log ce ne sono diversi ogni giorno, ma non me ne ero mai preoccupato particolarmente (Heartbleed non ci ha toccato, perchè non abbiamo ancora l'ssl attivo), questa è stata la prima volta che mi sono preoccupato, ma è stato solo per scrupolo.

    Debian di default usa dash. Il mio /etc/passwd ha una sfilza di /bin/false ecc. L'unico modo di accedere a bash è dopo aver fatto login col mio account. Bah. Cmq ad oggi l'unico tentativo (fallito) di attacco shellshock registrato finora dal mio sito... l'ho fatto io con:

    http://website-status.com/bash-check-website-shell...
    non+autenticato
  • Questo bug è puro tam tam mediatico. Lo dico dall'inizio.

    Bug che portano a remote code execution si vedono da sempre, basta leggere i changelog delle patch.
    E se si vanno a vedere i ticket cve si scoprono falle patchate molto più gravi di questa, ma che non fanno notizia.

    Questo bug ha scatenato tutti i media (competenti e non, come Libero e il "nuovo virus"), senza nemmeno aspettare analisi adeguate, solo perché qualcuno ha nominato lo spettro di Heartbleed.
    E via di finti esperti di sicurezza con i Proof of Concept a caso che dimostravano la "gravità", configurando i server affinché eseguissero sudo senza password, in modo da far abboccare gli idioti e fargli credere che Shellshock eseguisse davvero servizi senza badare ai privilegi.
    Per fortuna ci sono stati esperti di sicurezza che hanno affrontato seriamente il problema fin dall'inizio.

    E difatti i risultati si vedono. Tanto clamore, ma di danni neanche l'ombra.
    Darwin
    5126
  • Ancora con questo bug lamer piu lamer di chi lo ha trovato?
  • ...allora problemi zero, anche se è passata una settimana.
    Ma LOL.
    -----------------------------------------------------------
    Modificato dall' autore il 01 ottobre 2014 11.51
    -----------------------------------------------------------
  • - Scritto da: Elrond
    > ...allora problemi zero, anche se è passata una
    > settimana.
    > Ma LOL.

    Abbi fede:
    http://blog.cloudflare.com/inside-shellshock/
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: Elrond
    > > ...allora problemi zero, anche se è passata una
    > > settimana.
    > > Ma LOL.
    >
    > Abbi fede:
    > http://blog.cloudflare.com/inside-shellshock/

    Sono ateo. Nessuna fede.
  • - Scritto da: Elrond
    > - Scritto da: 2014
    > > - Scritto da: Elrond
    > > > ...allora problemi zero, anche se è passata
    > una
    > > > settimana.
    > > > Ma LOL.
    > >
    > > Abbi fede:
    > > http://blog.cloudflare.com/inside-shellshock/
    >
    > Sono ateo. Nessuna fede.
    inizia a pregare in russoA bocca aperta
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: Elrond
    > > - Scritto da: 2014
    > > > - Scritto da: Elrond
    > > > > ...allora problemi zero, anche se è passata
    > > una
    > > > > settimana.
    > > > > Ma LOL.
    > > >
    > > > Abbi fede:
    > > > http://blog.cloudflare.com/inside-shellshock/
    > >
    > > Sono ateo. Nessuna fede.
    > inizia a pregare in russoA bocca aperta

    Non ce n'è per niente bisogno.
    Dormi tranquillo.
    non+autenticato
  • - Scritto da: piaccapi
    > - Scritto da: 2014
    > > - Scritto da: Elrond
    > > > - Scritto da: 2014
    > > > > - Scritto da: Elrond
    > > > > > ...allora problemi zero,
    > anche se è
    > passata
    > > > una
    > > > > > settimana.
    > > > > > Ma LOL.
    > > > >
    > > > > Abbi fede:
    > > > >
    > http://blog.cloudflare.com/inside-shellshock/
    > > >
    > > > Sono ateo. Nessuna fede.
    > > inizia a pregare in russoA bocca aperta
    >
    > Non ce n'è per niente bisogno.
    > Dormi tranquillo.
    io siA bocca aperta
    non+autenticato
  • Noi pure
    non+autenticato
  • - Scritto da: ...
    > Noi pure

    Anche perché nel link postato era premesso, per chi sa cogliere tutte le OVVIE ED ELEMENTARI conseguenze del caso: "if a web server is vulnerable..."

    E se il webserver e quello che vi gira sopra è vulnerabile, posso garantire che shellshock sarà veramente l'ultimo dei problemi.

    Il resto sono chiacchiere e speculazioni.
    non+autenticato
  • - Scritto da: piaccapi
    > - Scritto da: ...
    > > Noi pure
    >
    > Anche perché nel link postato era premesso, per
    > chi sa cogliere tutte le OVVIE ED ELEMENTARI
    > conseguenze del caso: "if a web server is
    > vulnerable..."
    >

    "If a server is vulnerable to shellshock". Quella parte ti è sfuggita?

    > E se il webserver e quello che vi gira sopra è
    > vulnerabile, posso garantire che shellshock sarà
    > veramente l'ultimo dei
    > problemi.

    Se il server è vulnerabile a shellshock, shellshock è l'ultimo dei problemi? Rotola dal ridere

    Accidenti, spero proprio che tu non sia un system administrator altrimenti siamo proprio messi male. Rotola dal ridere

    >
    > Il resto sono chiacchiere e speculazioni.

    Rotola dal ridere
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: piaccapi
    > > - Scritto da: ...
    > > > Noi pure
    > >
    > > Anche perché nel link postato era premesso, per
    > > chi sa cogliere tutte le OVVIE ED ELEMENTARI
    > > conseguenze del caso: "if a web server is
    > > vulnerable..."
    > >
    >
    > "If a server is vulnerable to shellshock ".
    > Quella parte ti è
    > sfuggita?
    >
    > > E se il webserver e quello che vi gira sopra è
    > > vulnerabile, posso garantire che shellshock sarà
    > > veramente l'ultimo dei
    > > problemi.
    >
    > Se il server è vulnerabile a shellshock,
    > shellshock è l'ultimo dei problemi?
    > Rotola dal ridere

    Toh... Ecco qualcuno che è cascato nella trappoletta che avevo sistemato di propositoA bocca aperta
    Per cortesia, mi ripeti quando un server è vulnerabile a shellshock?
    E sorattutto, quali siano le sue implicazioni. Sono importanti.
    E, ripeto, se hai macchine conciate in quella maniera, shellshock rimane l'ultimo dei tuoi problemi

    > Accidenti, spero proprio che tu non sia un system
    > administrator altrimenti siamo proprio messi
    > male.
    > Rotola dal ridere

    Stando così le cose, spero che non lo sia tuA bocca aperta
    >
    > >
    > > Il resto sono chiacchiere e speculazioni.
    >
    > Rotola dal ridere

    Intanto sono ancora qua che aspetto. uffa...
    non+autenticato
  • - Scritto da: piaccapi
    > - Scritto da: ...
    > > - Scritto da: piaccapi
    > > > - Scritto da: ...
    > > > > Noi pure
    > > >
    > > > Anche perché nel link postato era
    > premesso,
    > per
    > > > chi sa cogliere tutte le OVVIE ED
    > ELEMENTARI
    > > > conseguenze del caso: "if a web server
    > is
    > > > vulnerable..."
    > > >
    > >
    > > "If a server is vulnerable to
    > shellshock

    > ".
    > > Quella parte ti è
    > > sfuggita?
    > >
    > > > E se il webserver e quello che vi gira
    > sopra
    > è
    > > > vulnerabile, posso garantire che
    > shellshock
    > sarà
    > > > veramente l'ultimo dei
    > > > problemi.
    > >
    > > Se il server è vulnerabile a shellshock,
    > > shellshock è l'ultimo dei problemi?
    > > Rotola dal ridere
    >
    > Toh... Ecco qualcuno che è cascato nella
    > trappoletta che avevo sistemato di proposito
    >A bocca aperta
    > Per cortesia, mi ripeti quando un server è
    > vulnerabile a
    > shellshock?

    Potresti chiedere a loro:
    http://blogs.akamai.com/2014/10/shellshock-update....

    > Intanto sono ancora qua che aspetto. uffa...

    Magari il tuo serverino in php che serve tre utenti non se lo fila nessuno?A bocca aperta
    non+autenticato