Security Notes

Perché la falla Bash Bug minaccia Internet?

shellshock

In molti tra voi avranno sentito parlare in questi giorni di una vulnerabilità critica chiamata , anche nota come ShellShock, che minaccia buona parte delle macchine esposte ad Internet. Scoperta recentemente da Stephane Chazelas, la temuta falla ha stupito profondamente la comunità di internazionale poichè è presente nella Bash, (Bourne Again Shell), ovvero nell’interprete di comandi utilizzato in ambienti Unix a Linux, da circa 25 anni. Praticamente un’eternità.

Volendo descrivere le caratteristiche principali di questa vulnerabilità essa è stata classificata con il massimo livello di severità 10 dal National Institute of Standards and Technology e le è stato assegnato il l’identificativo CVE-2014-6271. La vulnerabilità Bash Bug risiede nella modalità con la quale la componente Bash gestisce variabili d’ambiente opportunamente composte, in pratica inviando una semplice richiesta http ad una bash è possibile far sì che il sistema che la riceve esegua qualunque comando si voglia. E’ sfruttabile in remoto per colpire computer, server ed ogni dispositivo basato su sistema operativo Linux e Unix ed è presente in tutte le versioni GNU Bash dalla 1.14 alla 4.3, ed un attaccante potrebbe sfruttarla per prendere il controllo della macchina vulnerabile.

L’aspetto che più preoccupa di questa falla è la semplicità con la quale possa essere sfruttata per attacchi su larga scala, diversamente da quanto emerse in occasione della vulnerabilità HeartBleed che ancora oggi è presente in centinaia di migliaia di server in tutto il mondo.

Bash Bug

L’impatto della vulnerabilità è devastante in termini di potenziali sistemi vulnerabili: secondo uno studio condotto dall’azienda Internet Netcraft il numero di server utilizzato in tutto il mondo è superiore al miliardo, e di questi più della metà sono web server Apache basati su Linux e nei quali è presente la componente Bash incriminata. Di seguito i dati aggiornati allo scorso Agosto.

Bash bug2

La lista dei potenziali sistemi vulnerabili è lunga e include anche router domestici, dispositivi medicali, sistemi SCADA/ICS, sistemi Voice-over-IP e molti dispositivi appartenenti alla famiglia dell’Internet of Things. Se per i server la risoluzione del problema è relativamente semplice una volta che le aziende produttrici del sistema operativo rilasciano un aggiornamento per la risoluzione della falla, per altri sistemi in molti casi l’aggiornamento del software vulnerabile non è semplice. Sistemi di video sorveglianza, contatori di utenze automatici, componenti di processi industriali sono per loro natura difficili da aggiornare, in molti casi gli aggiornamenti non sono mai rilasciati o peggio si preferisce non applicarli per garantire la stabilità delle architetture.
Gli esperti raccomandano di disabilitare la ricezione di comandi dalla Bash Shell attraverso l’interfaccia CGI (Common Gateway Interface) per mitigare la minaccia in attesa del rilascio degli aggiornamenti da parte delle aziende produttrici.

Le principali aziende stanno già effettuando l’analisi delle proprie soluzioni, ad esempio Apple ha tranquillizzato gli utilizzatori del sistema operativo MAC OS X in quanto non vulnerabile nella configurazione di standard, mentre Oracle ha confermato che diverse decine di suoi prodotti sono vulnerabili al Bash Bug.

Appena divulgata la falla, gli esperti di sicurezza hanno cominciato ad osservare i primi attacchi per compromettere sistemi esposti in Internet. Nella maggior parte dei casi i sistemi sono stati attaccati per renderli parte di botnet, ovvero insiemi di PC e server infetti utilizzati per attività illecite.
Purtroppo mentre discutiamo il numero di attacchi continua a crescere ed a preoccupare sono soprattutto offensive condotte con l’intento di infettare macchine e penetrare reti per spionaggio informatico. L’azienda di sicurezza Incapsula ha registrato in sole 24 circa 725 attacchi per ora originati da 400 indirizzi IP differenti, la maggior parte dei quali locati negli Stati Uniti ed in China. Non vi è dubbio che un numero considerevole di “bad actors” sono già all’opera per individuare e colpire macchine affette dalla famigerata falla.

Ed è solo l’inizio!

 

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

1 Commento

Commenti e reazioni su:

Loading Facebook Comments ...

1 Commento

  1. Pingback: Perché la falla Bash Bug minaccia Internet? | Geek News

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This