Il nuovo bug di BASH è peggio di Heartbleed?

Scovato un pernicioso baco nella popolare shell per sistemi *nix. Un problema dai contorni ancora incerti. E che soprattutto potrebbe coinvolgere un numero enorme di server in circolazione

Roma – La shell Bash è affetta da una grave vulnerabilità, un baco talmente grave da guadagnarsi la classificazione di massima pericolosità da parte del NIST e con effetti sul medio/lungo periodo potenzialmente devastanti ancora tutti da valutare. Il baco consiste nella non corretta gestione di un particolare tipo di variabile d’ambiente, una variabile che può contenere codice che verrà eseguito immediatamente senza alcun controllo da parte della shell. Quel che è peggio, e la probabile ragione della severità dell’allarme, è il fatto che il baco può essere sfruttato per inviare comandi potenzialmente malevoli a un server agendo da remoto.

Bash (o Bourne Again Shell ) è un interprete di comandi per ambienti *nix “universale”, un componente di sistema che risulta cioè installato su ogni genere di sistema operativo basato su Unix o Linux; coinvolti nella crisi ci sono anche i sistemi di Apple (Mac OS X), mentre almeno per questa volta i sistemi Windows risultano sostanzialmente immuni a meno di aver installato componenti provenienti dal mondo FOSS (Cgywin).

Server Web Apache, OpenSSH, DHCP, niente si salva dal baco di Bash: un cyber-criminale potrebbe penetrare un network di primo piano installando un server DHCP malevolo, suggeriscono gli esperti, e a quel punto sarebbe “game over” per la sicurezza dell’intera rete. La nuova vulnerabilità è già stato classificata come una crisi potenzialmente peggiore del cataclisma Heartbleed , e gli effetti di questa nuova crisi potrebbero farsi sentire nei mesi e anni a venire come e più di quanto successo con il bug nella libreria OpenSSL.

Il bug colpisce le versioni di Bash dalla 1.14 alla 4.3 inclusa, e già esistono patch di aggiornamento per le più popolari distro Linux come Red Hat Enterprise, Fedora, CentOS, Ubuntu e Debian . Le contromisure sono scattate nel giro di un giorno, ma a quanto pare la crisi è tutto fuorché contenuta.

Assieme agli aggiornamenti per gli OS basati su Linux sono infatti arrivati i primi casi di codice proof-of-concept sviluppato per sfruttare il bug di Bash , malware e attacchi “in the wild” alla caccia dei server vulnerabili accessibili dalla Internet pubblica. A una prima scansione online sulla porta 80 (HTTP) un ricercatore ha scovato almeno 3.000 istanze vulnerabili, ma una scansione in maggior profondità (soprattutto su porte diverse) dovrebbe fornire risultati ancora più preoccupanti.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Leguleio scrive:
    Il futuro
    " Secondo gli osservatori, tutti gli elementi connessi della casa potrebbero rappresentare un canale per l'acquisto: dalle ricariche per i detersivi agli alimentari di consumo giornaliero, Amazon potrebbe trasformare la casa in un meccanismo capace di autogestirsi attingendo ai prodotti in vendita sulla propria piattaforma ".Finché si tratta di comprare automaticamente detersivi, batterie per telecomandi e rimpiazzare le scorte di zucchero, olio e sale della dispensa, il servizio avrà una sua indubbia utilità. Quando Amazon acquisterà in automatico una peretta per clistere perché risulta che non ci si siede sul WC da tre giorni, oppure ordinerà bistecca di manzo di Kobe perché la padrona di casa è incinta e anticipa le sue voglie, qualcuno penserà che era meglio quando Amazon non c'era. :|
  • ottomano scrive:
    Dash?
    "Prodotti sperimentali come Dash"..Ma sono anni che si vende in Italia :p
Chiudi i commenti