Cybersecurity

Shellshock: vulnerabilità grave per Unix, Linux e Mac OS X

29 Settembre 2014

Se hai meno di 60 secondi

 
Cos'è Shellshock?
 
E’ il nome che è stato dato a una recente vulnerabilità scoperta in tutti i sistemi che utilizzano Bash, un sistema di gestione tipico di Unix.
 
Chi rischia?
 
Tutti quelli che utilizzano Unix/Linux e Mac OS X e coloro che hanno i propri dati registrati su sistemi di questo tipo. Anche quelli che non sanno di averli.
Praticamente tutto il mondo.
 
Cosa si rischia?
 
Il rischio è che un malintenzionato possa prendere il pieno controllo del sistema, fare tutto quello che vuole (rubare dati, cancellare informazioni, modificarle…) senza lasciare tracce.
 
Come si rimedia? 

Occorre installare una patch specifica. Occorre farlo subito.
Di seguito le patch dei sistemi più diffusi:
Devo fare qualcosa?
 
Se sei un amministratore o un sistemista di macchine Unix/Linux e Mac OS X come prima cosa devi verificare se i tuoi sistemi sono vulnerabili (per il test, leggi sotto); se lo sono devi applicare subito la patch che risolve il problema.
Se non sei un sistemista non c’è nulla che tu possa fare.
 
Uso solo sistemi Microsoft: sono al sicuro?
 
Sì.


 

Se hai un attimo di calma e vuoi capire meglio
 
Ti ricordi di Heartbleed? La vulnerabilità che metteva a rischio la sicurezza dei server HTTPS.
Ne abbiamo parlato anche noi in questo blog.
Il bug aveva suscitato clamore sia per la gravità intrinseca, sia perché in ambito Unix/Linux/Mac OS X i bug non sono così comuni come nel mondo Windows.
 
Partiamo dall’inizio
 
Ora siamo alla puntata numero due.
Nuovo bug, nuovo allarme.
Se cerchi su Google “Shellshock” o “Shellshock Bash” troverai tonnellate di post, link, commenti, bollettini e chi più ne ha più ne metta.

Andiamo con ordine cercando di analizzare i fatti.
Recentemente è stata scoperta una vulnerabilità in Bash, uno dei sistemi che negli ultimi 25 anni permettono di gestire Unix/Linux e più recentemente anche Mac OS X.
Non tutti sanno cos'è Bash e non lo spiegheremo noi, ma giusto per dare un’idea della sua diffusione riporto il grafico dei sistemi che fanno girare tutto il web.



Il dato che emerge è che oltre il 50% dei sistemi che si affacciano su internet è potenzialmente affetto dal baco (io dico potenzialmente, ma sono certo che tutti i sistemi sono affetti dal baco).
Figuriamoci poi quanti sono quelli non esposti su internet, ma che hanno lo stesso problema…

In sintesi, i sistemi colpiti da questa vulnerabilità sono un numero enorme, l’intero pianeta è in qualche modo coinvolto da questo problema.
E giacchè ho usato questo termine, qual è il problema di questo bug?
E’ così grave? Non si può correggere?
E chi lo deve correggere?
Nel resto di questo post proverò a dare riposta a tutte le domande.

Il problema in estrema sintesi è questo

Attraverso la vulnerabilità in questione è possibile prendere controllo totale di un sistema Unix/Linux e Mac OS X senza autenticarsi, e fare quello che si desidera.

Si possono cancellare dati, eseguire comandi e azioni senza rendere conto a nessuno; da qui poi si possono creare sistemi automatici che agiscano indisturbati e, fungendo da virus, fare ciò che il creatore vuole. Un bel problema!
 
Quando è scoppiato tutto questo?
 
Credo che il 24 settembre sia il giorno in cui i primi "geek" hanno parlato su un forum di questo clamoroso problema.
Perché tutto ciò riguarda tutti e non solo gli informatici?
Perché Bash (l’oggetto colpito dalla vulnerabilità) esiste da oltre 25 anni e ha assunto nel corso dell’evoluzione le forme più strane: è dentro le distribuzioni firewall, le telecamere di sorveglianza, alcuni cellulari, navigatori satellitari, lavatrici…
Un esempio di oggetti usati nella vita di tutti giorni, che ignoriamo avere dentro Linux e che dovrebbero essere aggiornati con regolarità? Ti accontento subito: guarda questo account Twitter. Qui dentro trovi foto prese con webcam “bucate” senza che i proprietari sappiano nulla.

Cosa puoi fare per risolvere il problema?
 
Se non sei un sistemista non puoi fare nulla, puoi solo sperare che i sistemisti facciamo il loro dovere.
Se invece sei un sistemista innanzitutto devi verificare se i tuoi sistemi sono vulnerabili.
 
Come verifico se i miei sistemi sono vulnerabili?
 
La rete pullula di spiegazioni su come effettuare il test.
La vulnerabilità scoperta per prima è stata identificata come CVE-2014-6271.
I principali produttori di Linux hanno prontamente rilasciato le patch, ma hanno anche dichiarato che non erano patch definitive, perché hanno immediatamente identificato un altro problema etichettato come CVE-2014-7169.
In realtà quindi i test da fare sono due.
Io ho provato su un Mac e vi porto qui i risultati.
Per eseguire il test di vulnerabilità per la CVE-2014-6271:
  • lanciare il terminale su un sistema Mac OS X;
  • digitare il seguente comando: env x='() { :;}; echo vulnerable' bash -c 'echo hello'.
  • L’output del commando, se il sistema è vulnerabile, è il seguente: 



Per eseguire il test di vulnerabilità CVE-2014-7169 bastano due righe di comando:
  • lanciare il terminale su un sistema Mac OS X;
  • digitare il seguente comando:
rm –f echo
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
 
  • L’output del commando su sistema vulnerabile è: 



Se infine vuoi testare in remoto qualche webserver, eccoti accontentato.
 

Come risolvere
 
Se usi Red Hat, Debian, Centos o Ubuntu puoi trovare qui i link alle ultime patch.
Apple non ha ancora rilasciato una patch ufficiale.
Se vuoi qualche info in più sul problema specificamente in ambito Mac ti suggerisco la lettura di questo articolo.
 
Altre informazioni
 
Come sempre in questi casi è opportuno dedicare del tempo ad approfondire il problema per capirne di più.
Io ti riporto alcune fonti che meritano di essere lette:
Un commento finale
 
Vedo già le persone (amici, conoscenti, colleghi e anche nemici) schierarsi.
Gli uomini Windows stanno pensando: "Ah ah ah, ora tocca anche a loro qualche problema di sicurezza".
Gli uomini *nix stanno pensando: "Maledizione, dobbiamo mettere una patch alla svelta, meno male che Red Hat in mezz'ora genera la patch, mica come Windows che resta vulnerabile per settimane".
Gli uomini Mac probabilmente sono impegnati a fare la coda per prendere iPhone 6, certi che il loro sistema sia inattaccabile e che tanto Apple li avviserebbe personalmente in caso di problemi…
 
Ho voluto deliberatamente mettere una conclusione un po' spiritosa per sdrammatizzare il problema.
Perché la sintesi è unica e uguale per tutti: il software contiene errori che vanno corretti. Sempre. Indipendentemente dalla piattaforma.
E ai sistemisti alle prese con Shellshock auguro buon lavoro.
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (4)
guest
4 Commenti
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Carlo Nadal
Carlo Nadal
7 anni fa

Password complesse sempre per proteggere l’accesso ssh o bloccare l’accesso ssh con password poco sicure..
Pero’ la situazione e’ critica per chi usa CGI su apache infatti se sono abilitati gli script CGI oppure se interpreti come PHP sono eseguiti in CGI, la macchina è vulnerabile…..

Claudio Panerai
Claudio Panerai
7 anni fa

Password complesse tutta la vita, Carlo.
Però qui parliamo proprio di un baco software e col baco software non c’è password che tenga…

Andrea Zanone Poma
Andrea Zanone Poma
7 anni fa

apple ha rilasciato una patch che si scarica da qui:
http://support.apple.com/downloads/
Tra i vari download bisogna scegliere OS X bash update 1.0

per sapere la compatibilità della patch basta visitare la pagina:
http://support.apple.com/kb/HT1222?viewlocale=it_IT
che è specificata nel wizard di installazione.

Dopo averla installata il test di vulnerabilità per la CVE-2014-6271 ha dato esito negativo.

provate anche voi utilizzatori del mac

Claudio Panerai
Claudio Panerai
7 anni fa

Grazie della dritta Andrea.
In effetti oggi stiamo aggiornamento l’articolo con link diretti per MacOS X Maverics, Mountain Lion e Lion.