Casa Securitywatch Un grave difetto di bash consente agli aggressori di dirottare computer Linux e Mac

Un grave difetto di bash consente agli aggressori di dirottare computer Linux e Mac

Video: Installing Linux Mint on a Mac - Part 1 - Krazy Ken's Tech Misadventures (Novembre 2024)

Video: Installing Linux Mint on a Mac - Part 1 - Krazy Ken's Tech Misadventures (Novembre 2024)
Anonim

Un bug scoperto in Bash, un interprete di comandi ampiamente utilizzato, rappresenta un rischio critico per la sicurezza dei sistemi Unix e Linux, hanno affermato gli esperti di sicurezza. E per non essere tentato di liquidare il problema come un semplice problema del server, ricorda che Mac OS X usa Bash. Molti esperti avvertono che potrebbe essere peggio di Heartbleed.

La vulnerabilità è presente nella maggior parte delle versioni di Bash, dalla versione 1.13 alla 4.3, secondo Stephane Chazelas, amministratore di rete e telecomunicazioni Unix e Linux di Akamai, che per primo ha rivelato il bug. Il Team Computer Response Response Team (CERT) presso il Dipartimento di sicurezza nazionale ha avvertito in un avviso che se sfruttata, la vulnerabilità poteva consentire a un hacker remoto di eseguire codice dannoso su un sistema interessato. Il database delle vulnerabilità NIST ha valutato il bug 10 su 10 in termini di gravità.

"Questa vulnerabilità è potenzialmente un grosso problema", ha dichiarato Tod Beardsley, direttore tecnico di Rapid7.

La vulnerabilità ha a che fare con il modo in cui Bash gestisce le variabili di ambiente. Quando si assegna una funzione a una variabile, verrà eseguito anche qualsiasi codice aggiuntivo nella definizione. Quindi tutto ciò che un utente malintenzionato deve fare è in qualche modo aggiungere un mucchio di comandi in quella definizione - un classico attacco di iniezione di codice - e saranno in grado di dirottare in remoto la macchina interessata. Chazelas e altri ricercatori che hanno esaminato il difetto hanno confermato che è facilmente sfruttabile se il codice viene iniettato in variabili ambientali, come la funzione ForceCommand in OpenSSH sshd, i moduli mod_cgi e mod_cgid in Apache HTTP Server o script che impostano il ambiente per client DHCP.

"Un gran numero di programmi su Linux e altri sistemi UNIX usano Bash per impostare variabili ambientali che vengono poi utilizzate durante l'esecuzione di altri programmi", ha scritto Jim Reavis, capo esecutivo della Cloud Security Alliance, in un post sul blog.

Confronto Heartbleed inevitabile

Considerare due aspetti di questa vulnerabilità: i server Linux / Unix sono ampiamente utilizzati nei data center di tutto il mondo e su sistemi embedded in molti dispositivi; la vulnerabilità è presente da anni. Poiché Bash è così diffuso, il confronto con Heartbleed, la vulnerabilità di OpenSSH scoperta ad aprile è inevitabile. Robert Graham di Errata Security ha già soprannominato il difetto ShellShock.

Ma è Heartbleed 2? È un po 'difficile da dire. È sicuramente un problema serio, perché offre agli aggressori l'accesso alla shell dei comandi, che è il biglietto d'oro per poter fare quello che vogliono su quella macchina.

Pensiamo in termini di dimensioni. I server Web Apache alimentano la stragrande maggioranza dei siti Web nel mondo. Come abbiamo appreso durante Heartbleed, ci sono molte macchine non Linux / Unix che usano OpenSSH e Telnet. E il DHCP è determinante nel facilitare l'accesso e la disattivazione delle reti. Ciò significa che oltre a computer e server, è possibile che anche altri sistemi embedded, come i router, siano vulnerabili al dirottamento. Graham di Errata Security, che finora ha svolto alcune delle analisi più approfondite del bug, ha eseguito alcune scansioni e trovato facilmente alcune migliaia di server vulnerabili, ma a questo punto è un po 'difficile stimare l'entità del problema.

Tuttavia, il difetto Heartbleed era presente solo con una versione vulnerabile di OpenSSL installata. Questo bug non è così semplice.

"Non è 'semplice' come 'eseguire Bash'", ha detto Beardsley. Affinché la macchina sia vulnerabile agli attacchi, deve esserci un'applicazione (come Apache) che accetta l'input dell'utente (come un'intestazione User-Agent) e lo inserisce in una variabile di ambiente (come fanno gli script CGI). I moderni framework Web non saranno generalmente interessati, ha detto.

Questo potrebbe essere il motivo per cui Graham ha affermato che ShellShock è grave come Heartbleed, "non c'è bisogno di affrettarsi a correggere questo errore. I server primari probabilmente non sono vulnerabili a questo errore".

Ma prima di andare fuori di testa su router e dispositivi embedded (e Internet of Things), tieni presente che non tutti i sistemi usano Bash. Ubuntu e altri sistemi derivati ​​da Debian possono usare un interprete di comandi diverso chiamato Dash. I dispositivi integrati utilizzano spesso uno chiamato BusyBox, che non è vulnerabile, ha affermato su Twitter Roel Schouwenberg, ricercatore senior presso Kaspersky Lab.

Vulnerabile o no?

Puoi verificare se sei vulnerabile eseguendo i seguenti comandi (codice fornito dal CSA). Aprire una finestra del terminale e immettere il comando seguente al prompt $:

env x = '() {:;}; echo vulnerabile 'bash -c "echo questo è un test"

Se sei vulnerabile, stampa:

vulnerabile

questo è un test

Se hai aggiornato Bash vedrai solo:

questo è un test

Normalmente, direi di andare avanti e patch subito, ma si scopre che le patch disponibili non sono complete. Ci sono ancora modi per inserire comandi tramite variabili d'ambiente anche dopo aver patchato Bash, ha detto stamattina Red Hat. Se hai solo una manciata di macchine, può valere la pena andare avanti e applicare le patch disponibili, ma se hai migliaia di macchine da patchare, forse vale la pena aspettare ancora qualche ora. Tutte le distribuzioni upstream di Linux (e speriamo che Apple!) Stiano lavorando su una soluzione proprio ora.

"Ricorda, anche se non hai mai sentito parlare di Bash prima o non lo esegui, potresti benissimo avere un software in esecuzione sul tuo computer che genera processi Bash", ha detto il consulente di sicurezza indipendente Graham Cluley.

Un grave difetto di bash consente agli aggressori di dirottare computer Linux e Mac