La crisi Shellshock si evolve sempre più in un problema di sicurezza concreto, con i primi server di alto profilo a cadere vittima di ignoti cyber-criminali impegnati a sfruttare la vulnerabilità in Bash già classificata come un problema molto più pericoloso dell'”apocalittico” baco Heartbleed.
L’allarme sulle (prime?) compromissioni certe di alto profilo a mezzo Shellshock arriva da Jonathan Hall, ex-hacker black hat ora convertitosi alla consulenza informatica che si è trovato davanti a una serie di “sondaggi” sui suoi sistemi provenienti da server compromessi.
I sondaggi erano alla ricerca della vulnerabilità nota come Shellshock, ha spiegato Hall, con gli script malevoli che provenivano dai sistemi appartenenti a Yahoo, WinZip e Lycos. Il ricercatore ha invidiato uno script in Perl nella directory cgi-bin di uno dei server, accanto a un bot IRC con capacità di DDoS ma usato solo per provare a guadagnare l’accesso indiscriminato alla Shell delle macchine del ricercatore tramite la vulnerabilità Shellshock.
I commenti nel codice individuato sui server compromessi sono in rumeno, quindi l’ ipotesi di Hall è che i cracker siano originari della Romania. Il ricercatore ha avvertito sia le aziende coinvolte che l’FBI, con quest’ultima che si è detta pronta a indagare sull’accaduto.
Una prima risposta di Yahoo alle mail di Hall sembrava confermare l’ipotesi Shellshock, ma in seguito la corporation è tornata sull’accaduto circostanziando meglio i fatti : i cyber-criminali che hanno compromesso i server aziendali erano sì alla ricerca di un baco di tipo Shellshock, ma alla fine hanno individuato e sfruttato un bug diverso per impiantare il loro codice malevolo. Shellshock è già stato patchato due volte e i dati degli utenti sono al sicuro, ha confermato Yahoo.
La scoperta della vulnerabilità in Bash ha reso i tentativi di attacco alle shell di comando l’attività di cracking e di ricerca più in voga, e c’è qualcuno che ha provato ad applicare gli stessi principi di Shellshock anche agli ambienti Windows , teoricamente immuni al problema: il rischio, in questo caso, è molto ridotto e solo un hacker particolarmente determinato (e fortunato) potrebbe ottenere qualche risultato concreto come l’accesso a un server di file.
Alfonso Maruccia
Ti potrebbe interessare
7 ott 2014