Shellshock: nuova vulnerability su sistemi Linux-based
Una nuova vulnerabilità nel mondo Linux sta creando i peggiori allarmismi dopo quella di Heartbleed dei mesi precedenti.
Questa nuova vulnerabilità, chiatama ShellShock e designata dal NIST come CVE-2014-6271, permetterebbe, tramite variabili di ambiente, di eseguire codice arbitrario in:
- shell bash;
- OpenSSH, tramite la funzione ForceCommand;
- web server tramite i moduli mod_cgi e mod_cgid;
- script eseguiti tramite DHCP;
- ambienti generici che permettono in generale l’esecuzione di shell-scripts
La vulnerabilità non riguarda solo i sistemi Linux “in senso stretto”, ma anche tutta una serie di apparati su cui è installata una shell Bash precedente alla versione 4.3; ad esempio alcuni prodotti critici della Cisco sono vulnerabili, tra cui anche gli ASA CX, gli IPS (Intrusion Prevention Systems), ACS (Access Control Systems), così come gli switch della famiglia Nexus (praticamente i prodotti su cui è installata una shell Bash con versione precedente alla 4.3).
Un ipotetico attacco permetterebbe di prendere possesso della shell nei sistemi in cui tale vulnerabilità è presente; per cui in linea teorica, potrei avere accesso alla shell di un utente o alla shell dell’utente sotto cui gira il web server.
Nel primo caso potrei utilizzare la shell per tentare di “scalare” i privilegi del sistema e prenderne completo possesso; nel secondo caso avrei accesso ad una shell limitata, ma sempre utilissima nel caso in cui volessi utilizzarla per attacchi verso terzi.
Considerando la frequenza con cui gli aggiornamenti che vengono effettuati sui sistemi Linux (e non solo) presenti su internet, credo che tale exploit possa colpire un numero abbastanza corposo di sistemi; se invece i vostri sistemi vengono continuamente monitorati e soprattutto aggiornati, il vostro sistema potrà considerarsi sicuro in quanto le maggiori distribuzioni Linux hanno già apportato le relative patch nel giro di pochissimo tempo.
Quello che vi consiglio sempre sono tre “semplici” punti:
- tenere aggiornata la vostra macchina tramite la patch rilasciate;
- munirvi di un buon strumento di intrusion detection/prevention;
- proteggere il vostro sistema tramite un buon firewall (possibilmente una macchina dedicata).
E se mettete in pratica i precedenti tre punti allora titoli allarmistici sui giornali come “Shellshock, il virus che minaccia i sistemi Linux ed Apple” potete solo considerarli spazzatura.