lunedì 29 dicembre 2014

Il Bug Shellshock Che Colpisce La Shell Bash

Qualche mese fa venne scoperta una grave vulnerabilità: la Shell Bash.
Stiamo ovviamente parlando di Shellshock.
Un baco talmente grave da guadagnarsi la classificazione di massima pericolosità da parte del NIST e con effetti sul lungo periodo semplicemente devastanti.
Il baco consiste nella non corretta gestione di un particolare tipo di variabile d'ambiente, una variabile che può contenere codice che verrà eseguito immediatamente senza alcun controllo da parte della Shell.
Il bug può essere sfruttato per inviare comandi potenzialmente malevoli ad un server agendo da remoto.
Bash (o Bourne Again Shell) è un interprete di comandi, un componente di sistema che risulta installato su ogni genere di sistema operativo basato su Unix o Linux; coinvolti nella crisi ci sono anche i sistemi di Apple (Mac OS X), mentre almeno per questa volta i sistemi Windows risultano sostanzialmente immuni a meno di aver installato componenti provenienti dal mondo FOSS (Cgywin).


ATTACCHI E VULNERABILITA'
DHCP, Server Web Apache, OpenSSH, niente si salva dal bug: un cyber-criminale potrebbe penetrare un network di primo piano installando un server DHCP malevolo e a quel punto sarebbe "game over" per la sicurezza dell'intera rete.
La nuova vulnerabilità è già stato classificata come peggiore del cataclisma Heartbleed.
Il bug colpisce le versioni di Bash dalla 1.14 alla 4.3 inclusa, e già esistono patch di aggiornamento per le più popolari distro Linux come Red Hat Enterprise, Ubuntu e Debian.
Assieme agli aggiornamenti per gli OS basati su Linux sono infatti arrivati i primi casi di codice sviluppato per sfruttare il bug di Bash, malware e attacchi "in the wild" alla caccia dei server vulnerabili accessibili dalla Internet pubblica.
A una prima scansione online sulla porta 80 (HTTP) un ricercatore ha scovato almeno 3.000 istanze vulnerabili, ma una scansione in maggior profondità (soprattutto su porte diverse) dovrebbe fornire risultati ancora più preoccupanti.


L'INTEGRAZIONE CON LE BOTNET
Qualche mese fa un ricercatore che si occupa di sicurezza informatica ha dichiarato di aver scoperto un gruppo di hacker al lavoro per sfruttare Shellshock per condurre attacchi informatici di alto profilo attraverso un malware creato per far parte di una Botnet.
Tra le prime vittime dell’attacco ci sarebbero in particolare i server di Yahoo e WinZip.
Ad essere colpiti sarebbero server interessati a Yahoo Sport, anche se il vero obiettivo della Botnet sarebbe l’accesso alla sezione Giochi.
La falla di sicurezza potrebbe consentire a un utente malintenzionato di utilizzare degli script per inviare comandi al sistema operativo, permettendo di prendere il controllo dei server da remoto.
Il problema di sicurezza è già stato comunicato a Yahoo e ai responsabili di WinZip.
Anche se i sistemi sono già stati aggiornati da quando è stato scoperto il bug, alcuni malware progettati ad hoc possono comunque sopravvivere (e diffondersi) non solo nei sistemi ancora vulnerabili, ma anche in quelli in cui la falla è già stata chiusa.


POSTA ELETTRONICA COLPITA
Questo bug coinvolge anche i server di posta elettronica SMTP, vittime di veri e proprio attacchi condotti per mezzo di email caratterizzate da header "malevoli" e capaci di sfruttare il bug nella shell Bash per installare malware sul sistema remoto.
Un malintenzionato potrebbe inviare una email con un header "infetto" in ognuno dei campi principali (mittente, destinatario e oggetto), contenente comandi Bash piuttosto che stringhe di testo e caselle email come dovrebbe normalmente accadere.
L'header malformato scoperto dai ricercatori di sicurezza serve a scaricare uno script in Perl in grado di agire da Bot IRC, sfruttabile da remoto per condurre attacchi di tipo DDoS o per scaricare ulteriore codice malevolo da eseguire sul sistema infetto.
Uno dei problemi più spinosi posti dalla scoperta di Shellshock è il fatto che il baco coinvolga anche sistemi molto vecchi o non aggiornati con particolare frequenza, fatto che viene ora confermato dall'individuazione dei server SMTP compromessi e arruolati di forza nell'ennesima Botnet attiva in rete.

Nessun commento:

Posta un commento