Alfonso Maruccia

Shellshock, mail server sotto attacco

Il bug nella shell Bash continua a far parlare di sÚ: ora a essere coinvolti nella nuova crisi di (in)sicurezza diffusa sono i server di posta elettronica. Che vengono attaccati per mezzo di header malevoli

Roma - La crisi Shellshock si fa sempre più seria e coinvolge i server di posta elettronica SMTP, vittime di veri e proprio attacchi condotti per mezzo di email caratterizzate da header "malevoli" e capaci di sfruttare il bug nella shell Bash per installare malware sul sistema remoto.

A un mese dalla scoperta del bug noto come Shellshock, i rischi di questa nuova vulnerabilità "sistemica" si allargano, invece di diminuire: un malintenzionato potrebbe inviare una email con un header "infetto" in ognuno dei campi principali (mittente, destinatario e oggetto), contenente comandi Bash piuttosto che stringhe di testo e caselle email come dovrebbe normalmente accadere.

L'header malformato scoperto dai ricercatori di sicurezza serve a scaricare uno script in Perl in grado di agire da bot IRC, sfruttabile da remoto per condurre attacchi di tipo DDoS o per scaricare ulteriore codice malevolo da eseguire sul sistema infetto.
Uno dei problemi più spinosi posti dalla scoperta di Shellshock è il fatto che il baco coinvolga anche sistemi molto vecchi o non aggiornati con particolare frequenza, fatto che viene ora confermato dall'individuazione dei server SMTP compromessi e arruolati di forza nell'ennesima botnet attiva in rete.

Alfonso Maruccia
Notizie collegate
54 Commenti alla Notizia Shellshock, mail server sotto attacco
Ordina
  • Sta arrivando spam (malevolo ??) da PostaCertificat@, quello di Governo Italiano per dialogare con Enti Pubblici, e gestito da Poste Italiane. Ci sarà dietro Shellshock ???
  • La crisi Shellshock si fa sempre più seria

    Ah si?

    A un mese dalla scoperta del bug noto come Shellshock, i rischi di questa nuova vulnerabilità "sistemica" si allargano, invece di diminuire

    Ma dove?

    Un malintenzionato potrebbe inviare una email con un header "infetto"

    Potrebbe?

    Uno dei problemi più spinosi posti dalla scoperta di Shellshock è il fatto che il baco coinvolga anche sistemi molto vecchi o non aggiornati

    E grazie al ....

    Insomma, si cerca di spremere la notizia come un limone, ma se il limone è già stato abbondantemente spremuto ...
    non+autenticato
  • FUD al fine di compensare le figuracce rimediate dagli altri... si quei due lì Fan AppleFan Windows.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > La crisi Shellshock si fa sempre più
    > seria

    >
    >
    > Ah si?

    Eh sì... Serissima!!! "Decinaie" e "dicinaie" di sistemi in ginocchio soprattutto in quel di Neverlands

    >
    > A un mese dalla scoperta del bug noto
    > come Shellshock, i rischi di questa nuova
    > vulnerabilità "sistemica" si allargano, invece di
    > diminuire

    >
    >
    > Ma dove?

    Neverlands. Detto sopra.

    > Un malintenzionato potrebbe inviare
    > una email con un header "infetto"

    >
    >
    > Potrebbe?

    Dipende.
    Se il malintenzionato è di cattivo umore, se ha dormito male, se si sente dispettoso...

    > Uno dei problemi più spinosi posti
    > dalla scoperta di Shellshock è il fatto che il
    > baco coinvolga anche sistemi molto vecchi o non
    > aggiornati

    >
    >
    > E grazie al ....

    Ma tu pensa... Un baco che coinvolge sistemi molto vecchi o non aggiornati.
    Una notiziona!
    Rotola dal ridereRotola dal ridereRotola dal ridere
    Voto all'articolo: appena un gradino sopra quello di Libero (http://is.gd/upjV7s)
    A bocca aperta
    non+autenticato
  • - Scritto da: maxsix

    > Ma lol, guarda coso ancient, ti hanno già
    > sbugiardato.
    > Dai collione fai il bravo.

    Amico caro.... "ti hanno chi?"
    Tu no perchè non sai leggere.
    l'articolo neppure (perchè c'è scritto esattamente quello che ho riportato) quindi a chi ti riferisci?
    Qui uno di quelli che non ha nulla da ridere sei tu!
    Ripeto:
    lrwxrwxrwx 1 root root 4 2013-04-08 14:47 /bin/sh -> bash (e questo è su un Mac) vedi te.....
    Hai patchato?
    Rotola dal ridereRotola dal ridere
  • Tra l'altro, non si riesce a capire cosa abbia da ironizzare maxsix visto che si sta parlando di una falla risalente ai tempi di UNIX e quindi presente anche su MacOSX.
    Apple se ne è uscita con le solite ultime parole famose: "I nostri SO sono al sicuro"; dopo una settimana hanno rilasciato una patch che non si sa neppure se funzioni (tanto gli apple-fan si bevono qualsiasi panzana).
    non+autenticato
  • No si sa già che non funziona! (è diverso)......

    "Apple's Shellshock patch for Macs is incomplete"

    http://www.cnet.com/news/apples-shellshock-patch-i.../
  • Più che altro a differenza di te so leggere.
    Certo capire la differenza che c'è tra scrivere "/bin/bash" e "/bin/sh" per uno che usa il Mac è complicato...
    dato che la situazione sul Mac si presenta così:
    lrwxrwxrwx 1 root root 4 2006-04-08 14:47 /bin/sh -> bash

    Da:

    http://apple.stackexchange.com/questions/143208/ho...

    "The quick and fix:

    sudo ln -sf bash /bin/sh
    as it will create a symlink pointing from /bin/sh to /bin/bash just like every other UNIX and Linux distribution. "

    Certo che (ripeti) bisognerebbe sapere leggere....
  • - Scritto da: archimandrito
    > Più che altro a differenza di te so leggere.
    > Certo capire la differenza che c'è tra scrivere
    > "/bin/bash" e "/bin/sh" per uno che usa il Mac è
    > complicato...
    > dato che la situazione sul Mac si presenta così:
    > lrwxrwxrwx 1 root root 4 2006-04-08 14:47
    > /bin/sh ->
    > bash
    >
    > Da:
    >
    > http://apple.stackexchange.com/questions/143208/ho
    >
    > "The quick and fix:
    >
    > sudo ln -sf bash /bin/sh
    > as it will create a symlink pointing from /bin/sh
    > to /bin/bash just like every other UNIX and Linux
    > distribution.
    > "
    >
    > Certo che (ripeti) bisognerebbe sapere leggere....

    Ora dimmi, per quale motivo stai saltando intorno alla questione Mac?
    No dimmelo.

    Ti avverto, eh.

    Stai per prendere una delle solite sberlone a cui il tuo predecessore era tanto affezionato.
    Pensaci bene eh, torno tra 2 orette a vedere.
    maxsix
    8871
  • Perchè dire: "apple schifezza" = vittoria totale in tutti i dibattiti Fan Windows.
    non+autenticato
  • - Scritto da: Winner
    > Perchè dire: "apple schifezza" = vittoria totale
    > in tutti i dibattiti
    > Fan Windows.

    Ah ecco.

    Me pareva.

    Ma dico, allora si sta parlando di shellbug di mailer demon, di server non aggiornati e bla bla bla e ti salta fuori sto sgherro che alza il dito urlando e ma "il mac, e ma la patch, e ma ...".
    Uno di primo acchito dice, boh questo ha avuto un incontro ravvicinato con un ragade e soffre proviamo a lasciarlo perdere.
    Poi il suddetto continua a inseguirti sempre con il dito alzato farfugliando sempre le stesse cose.

    Allora uno dice, ma allora questo è proprio rincoglionito nell'animo.

    Ed eccoci qua con "archimandrito" il collione 2.0.

    Bellissimo.
    maxsix
    8871
  • infatti Ne il mailer daemon ne bash sono coinvolti.
    Basta leggere l'aritcolo su zdnet.
    Il problema è sempre leggere (e essere capaci di farlo).
    Francamente a me che tu sia capace di farlo frega zero.
  • - Scritto da: maxsix

    > Ora dimmi, per quale motivo stai saltando intorno
    > alla questione
    > Mac?
    > No dimmelo.
    Facile il Mac usa bash!

    >
    > Ti avverto, eh.
    uhuuhhh
    Che paura!
    Rotola dal ridereRotola dal ridere
  • Leggo sotto di gente che non crede che si possa bucare un server via mail...
    Faccio presente che su vecchissimi server che usano, solo per esempio, sendmail nella configurazio puo essere presente una cosa del genere (da sendemail.cf):

    Mprog,         P=/bin/sh, F=lsDFMoqeu9, S=EnvFromL/HdrFromL, R=EnvToL/HdrToL, D=$z:/,
                    T=X-Unix/X-Unix/X-Unix,
                    A=sh -c $u



    ...che si potrebbe attivare in presenza di un qualche filtro presente, magare nel file alias per gestire, che so una mailing list, tipo majordomo od altro.


    Gira depotenziata, non root, e non ho fatto reali verifiche su come vengono gestiti gli argomenti passati ma tecnicamente... fa da pensare.
    non+autenticato
  • Da da pensare ma da da pensare (eventualmente) a prescindere da Bash!
    Se uno configura in modo da richiamare una shell ha un problema a prescindere da quale shell chiama!
    E poi (ripeto) il problema non è SMTP bensì l'agent di "delivery" e sopratutto cosa fa L'agent di delivery (parsing oppure no e di quali headers e con quali filtri?)
    Onestamente mi pare che (ammesso che ci sia il problema "niubbo") la questione si porrebbe qualunque sia la shell verso cui "esci" in modo non controllato (che sia bash o altro non mi pare cambi granchè la sostanza).
  • E' bash, ed il sistema è un vecchio Linux:

    # /bin/sh --version
    GNU bash, version 2.04.0(1)-release (i686-pc-linux-gnu)
    Copyright 1999 Free Software Foundation, Inc.
    # uname -a
    Linux xxxxxxxxxxx 2.4.28 #11 SMP Mon Sep 7 19:34:46 CEST 2009 i686

    Il sistema ha 17 anni ed il kenel è stato ricompilato da "poco".Sorride
    non+autenticato
  • Forse non ti è chiaro!
    Nel caso di specie è irrilevante che sia o non sia bash!
    Il problema è che possa in uno script qualunque richiamre la shell (quale che essa sia) senza fare parsing degli argomenti..
    Se lo fai ci sono decine di exploit che funzionano (bash o non bash).
    Mi pare abbastanza semplice!
  • - Scritto da: Gianni

    > Il sistema ha 17 anni ed il kenel è stato
    > ricompilato da "poco".
    >Sorride

    P.S.
    Il kernel?
    E cosa c'entra il kernel con Bash?

    1) Il kernel se ne strafotte di quale shell tu usi e anche che sia o non sia patchata!
    Bash è un "programma" (aka applicazione)...

    2) il sistema può anche averne cento di anni resta il fatto che se tu passi alla shell argomenti senza controllo sei a rischio qualsiasi shell tu usi!
  • Era solo per dire che il sistema è molto più vecchio di quello che risulta dalla data di compilazione del kernel.. e solo per dire che le shell erano utilizzate eccome. Quella è una configurazione generata dai template originali del sendmail, non è che qualche sysadmin ci ha messo dentro del suo.
    non+autenticato
  • era solo per dire (e ribadire) che bash non c'entra nulla!
    Era solo per ribadire che SE quel sistema è a rischio (posto che lo sia dato che da quello che hai postato potrebbe esserlo oppure no!) lo è da lungo tempo e per colpa di chi lo ha configurato.
    Dipende tutto non dalla configurazione che hai postato ne dalla "età" del sistema ma da ciò che viene eventualmente eseguito (parametro passato alla shell) il "bug" se c'è sta li!
    E quello che hai postato non ne da affatto conto!
  • - Scritto da: archimandrito
    > era solo per dire (e ribadire) che bash non
    > c'entra
    > nulla!
    > Era solo per ribadire che SE
    >
    quel sistema è a rischio (posto che
    > lo sia dato che da quello che hai postato
    > potrebbe esserlo oppure no!) lo è da lungo tempo
    > e per colpa di chi lo ha
    > configurato.
    > Dipende tutto non dalla
    > configurazione che hai postato ne dalla "età" del
    > sistema ma da ciò che viene eventualmente
    > eseguito (parametro passato alla shell) il "bug"
    > se c'è sta
    > li!
    > E quello che hai postato non ne da affatto conto!

    Ma dico eh, invece di venire qua a sfracellarci i maroni con "di che colore è il cavallo bianco di napoleone" dico eh.

    Non è che puoi scrivere direttamene alla fonte del buon Alfonso?

    Così oltre a trovare un altro che ti sbugiarda clamorosamente, visto che non ti è bastata quella che hai preso qui, magari ti becchi una lezioncina su come queste cose funzionano.

    Orco, ma ti risponde in inglese....

    E tu l'inglese non lo sai.....

    Uffa, cambiano i nomi ma i problemi sono sempre gli stessi.
    maxsix
    8871
  • - Scritto da: maxsix

    > Ma dico eh, invece di venire qua a sfracellarci i
    > maroni con "di che colore è il cavallo bianco di
    > napoleone" dico
    > eh.
    Vedi il problema è che non è neppure un cavallo!
    L'unico che sta discutendo del colore sei tu...
    Perchè non hai ancora capito che ....
    A dirla tutta è un asino....
    E si che è pure scritto chiaramente!
  • - Scritto da: archimandrito
    > - Scritto da: maxsix
    >
    > > Ma dico eh, invece di venire qua a
    > sfracellarci
    > i
    > > maroni con "di che colore è il cavallo
    > bianco
    > di
    > > napoleone" dico
    > > eh.
    > Vedi il problema è che non è neppure un cavallo!
    > L'unico che sta discutendo del colore sei tu...
    > Perchè non hai ancora capito che ....
    > A dirla tutta è un asino....
    > E si che è pure scritto chiaramente!

    Ti prendo qui, che non ho voglia di leggere tutte le minchiate che hai scritto.

    Allora.

    Loro la, la fonte del buon Alfonso, ti dice che nei server "ancient" (che vuol dire antichi) che ancora ci sono in giro questo exploit potrebbe funzionare.
    I motivi sono chiarissimi a tutti tranne che a te, ovvero che a suo tempo era una cosa normale e ampiamente utilizzata quella di far passare dati tramite le shell e bash in particolare.
    Giusto o sbagliato che sia.
    E il buon Gianni ti ha ricordato che quella configurazione che ha citato era un template di SERIE fornito con sendmail.

    Quindi è molto ma molto facile che quel template stia girando, per esempio.

    Tutto il resto che ti sei contorto a dire del Mac (cosa centra poi...), del fatto che è sbagliato a prescindere (che ricordiamoci eh, prima dell'arrivo di shellshock te ne presentavo 10000 di sysadmin che usano bash per fare di tutto e di più e oggi negano tutto),

    NON CENTRA NIENTE CON QUESTO DISCORSO.

    Ti è CHIARO oppure NO, ora?
    maxsix
    8871
  • - Scritto da: maxsix

    Guarda non so perchè insisti ma....

    > Quindi è molto ma molto facile che quel template
    > stia girando, per
    > esempio.

    Ti dirò di più quel template sta persino (udite udite) in uno dei miei server ma.... peccato non è vulnerabile.
    A bocca aperta
    Quello che continua a non esserti palese (cosa invece che han tutti capito) è che non è quel template a renderti vulnerabile (SE e sottolineo SE lo sei) forse ti sfugge che dipende dal programma o script che quel template chiama (ad esempio "procmail") e dal fatto che eventualmente il sudetto passi direttamente il controllo a una shell (ad esempio quella di un utente dato che lui (sendmail) non ha una shell) senza "parsare" nulla degli argomenti.

    Il che (scusa se te lo faccio ri-notare) è una cosa che fatta come amministratore di sistema è da interdizione perpetua dalla tastiera.
    Non a caso nel tuo esempio con qmail ti ho parlato di direttive messe nel file .qmail dell'utente.
    Ma essendo tu alquanto ignorantello non hai capito.

    > Ti è CHIARO oppure NO, ora?
    Sarebbe auspicabile che ti fosse chiaro!
    Vuoi un disegnino? chiamiamo gigi che te lo "ceselli" su una salamella?
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)