Bug-ShellshockIn questi giorni non si fa altro che parlare di questa nuova cyber minaccia che prende il nome di Bash Bug o Shellshock scoperta da Stephane Chazelas. Si tratta di una vulnerabilità che risale a 22 anni fa e che riguarda principalmente Bash, l’interprete dei comandi utilizzato nei sistemi Unix-Linux e Mac.

Questa falla è stata considerata dal National Institute of Standards and Technology con il massimo livello. In sostanza, la vulnerabilità dipende dal fatto che un computer invochi Bash in modo sicuro o meno. Invocando Bash tramite una banale ricerca "http" in maniera non sicura si rischia che il sistema che la riceve, esegua qualunque comando voglia, un attaccante potrebbe sfruttarla per prendere il controllo della macchina virtuale dal quale è stata fatta la suddetta richiesta. Uno degli aspetti che più preoccupa questo bug è la semplicità con il quale può essere sfruttato su larga scala.

Secondo quanto affermato dall’Internet Netcraft i server utilizzati in tutto il mondo superano il miliardo e più della metà utilizzano Unix-Linux sul quale è presente la componente Bash incriminata. Ovviamente i sistemi vulnerabili includono anche router domestici, dispositivi appartenenti all’IoT, sistemi medicali e voice over IP.

A quanto pare la risoluzione del problema consiste nell’aggiornamento del sistema operativo della macchina virtuale e del dispositivo, con nuove patch che superino il bug. Molte aziende stanno già lavorando sulla risoluzione del problema, Apple ad esempio, ha rilasciato il 28 settembre un aggiornamento OS X che chiude la falla che rende il sistema vulnerabile al bug.

Ubuntu e Debian anche hanno rilasciato un aggiornamento di Bash che risolve il problema. Per verificare se nel vostro sistema è presente la falla vi basterà digitare da terminale questo codice:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Se il sistema della vostra macchina è stato colpito dal Bash Bug il risultato sarà il seguente:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Se invece avrete aggiornato con il bugfix Bash, otterrete questo risultato:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

Il bugfix per Mac e Linux è stato rilasciato da qualche giorno il consiglio è quello di aggiornare il sistema!

 

You have no rights to post comments

Loading feeds...

Logo Design Company