Shellshock: nuova vulnerability su sistemi Linux-based

Published by Lello on

Una nuova vulnerabilità nel mondo Linux sta creando i peggiori allarmismi dopo quella di Heartbleed dei mesi precedenti.

Questa nuova vulnerabilità, chiatama ShellShock e designata dal NIST come CVE-2014-6271, permetterebbe, tramite variabili di ambiente, di eseguire codice arbitrario in:

  • shell bash;
  • OpenSSH, tramite la funzione ForceCommand;
  • web server tramite i moduli mod_cgi e mod_cgid;
  • script eseguiti tramite DHCP;
  • ambienti generici che permettono in generale l’esecuzione di shell-scripts

La vulnerabilità non riguarda solo i sistemi Linux “in senso stretto”, ma anche tutta una serie di apparati su cui è installata una shell Bash precedente alla versione 4.3; ad esempio alcuni prodotti critici della Cisco sono vulnerabili, tra cui anche gli ASA CX, gli IPS (Intrusion Prevention Systems), ACS (Access Control Systems), così come gli switch della famiglia Nexus (praticamente i prodotti su cui è installata una shell Bash con versione precedente alla 4.3).

Un ipotetico attacco permetterebbe di prendere possesso della shell nei sistemi in cui tale vulnerabilità è presente; per cui in linea teorica, potrei avere accesso alla shell di un utente o alla shell dell’utente sotto cui gira il web server.

Nel primo caso potrei utilizzare la shell per tentare di “scalare” i privilegi del sistema e prenderne completo possesso; nel secondo caso avrei accesso ad una shell limitata, ma sempre utilissima nel caso in cui volessi utilizzarla per attacchi verso terzi.

Considerando la frequenza con cui gli aggiornamenti che vengono effettuati sui sistemi Linux (e non solo) presenti su internet, credo che tale exploit possa colpire un numero abbastanza corposo di sistemi; se invece i vostri sistemi vengono continuamente monitorati e soprattutto aggiornati, il vostro sistema potrà considerarsi sicuro in quanto le maggiori distribuzioni Linux hanno già apportato le relative patch nel giro di pochissimo tempo.

Quello che vi consiglio sempre sono tre “semplici” punti:

  1. tenere aggiornata la vostra macchina tramite la patch rilasciate;
  2. munirvi di un buon strumento di intrusion detection/prevention;
  3. proteggere il vostro sistema tramite un buon firewall (possibilmente una macchina dedicata).

E se mettete in pratica i precedenti tre punti allora titoli allarmistici sui giornali come “Shellshock, il virus che minaccia i sistemi Linux ed Apple” potete solo considerarli spazzatura.

Categories: LinuxSecurity
Tags:

Related Posts

RedHat - AlmaLinux - Rocky
Cultura

RedHat blocca l’accesso ai sorgenti di RHEL

Con un comunicato del 21 Giugno a firma del suo vicepresidente Mike McGrath, RedHat blocca l’accesso ai sorgenti di RHEL a terzi. Il codice sorgente verrà reso disponibile, tramite il RedHat Customer Portal, solo per Read more…

information security
Cultura

… e 100.000 !!!

Sono passati circa 2 anni da quando ho iniziato a comunicare quasi per gioco ad AbuseIPDB gli indirizzi IP che cercano di effettuare tentativi fraudolenti verso alcuni server (circa una ventina, non critici) che gestisco Read more…

Apache Guacamole
Linux

Apache Guacamole – Database

Espandiamo le capacità di Apache Guacamole utilizzando come back-end di autenticazione un Database Server. In questo post utilizziamo come back-end MySQL/MariaDB. Apache Guacamole supporta diversi database: MySQL, MariaDB, PostgreSQL, MS SQL Server o altri tramite Read more…