La shell Bash è affetta da una grave vulnerabilità, un baco talmente grave da guadagnarsi la classificazione di massima pericolosità da parte del NIST e con effetti sul medio/lungo periodo potenzialmente devastanti ancora tutti da valutare. Il baco consiste nella non corretta gestione di un particolare tipo di variabile d’ambiente, una variabile che può contenere codice che verrà eseguito immediatamente senza alcun controllo da parte della shell. Quel che è peggio, e la probabile ragione della severità dell’allarme, è il fatto che il baco può essere sfruttato per inviare comandi potenzialmente malevoli a un server agendo da remoto.
Bash (o Bourne Again Shell ) è un interprete di comandi per ambienti *nix “universale”, un componente di sistema che risulta cioè installato su ogni genere di sistema operativo basato su Unix o Linux; coinvolti nella crisi ci sono anche i sistemi di Apple (Mac OS X), mentre almeno per questa volta i sistemi Windows risultano sostanzialmente immuni a meno di aver installato componenti provenienti dal mondo FOSS (Cgywin).
Server Web Apache, OpenSSH, DHCP, niente si salva dal baco di Bash: un cyber-criminale potrebbe penetrare un network di primo piano installando un server DHCP malevolo, suggeriscono gli esperti, e a quel punto sarebbe “game over” per la sicurezza dell’intera rete. La nuova vulnerabilità è già stato classificata come una crisi potenzialmente peggiore del cataclisma Heartbleed , e gli effetti di questa nuova crisi potrebbero farsi sentire nei mesi e anni a venire come e più di quanto successo con il bug nella libreria OpenSSL.
Il bug colpisce le versioni di Bash dalla 1.14 alla 4.3 inclusa, e già esistono patch di aggiornamento per le più popolari distro Linux come Red Hat Enterprise, Fedora, CentOS, Ubuntu e Debian . Le contromisure sono scattate nel giro di un giorno, ma a quanto pare la crisi è tutto fuorché contenuta.
Assieme agli aggiornamenti per gli OS basati su Linux sono infatti arrivati i primi casi di codice proof-of-concept sviluppato per sfruttare il bug di Bash , malware e attacchi “in the wild” alla caccia dei server vulnerabili accessibili dalla Internet pubblica. A una prima scansione online sulla porta 80 (HTTP) un ricercatore ha scovato almeno 3.000 istanze vulnerabili, ma una scansione in maggior profondità (soprattutto su porte diverse) dovrebbe fornire risultati ancora più preoccupanti.
Alfonso Maruccia