Bug Shellshock: le patch non risolvono il problema Bash

Una serie di informazioni poco rassicuranti arrivano dal mondo open source a conferma che il bug è solo la punta d'iceberg dei problemi che affliggono Bash

Un incubo peggio di HeartBleed è quello che si è abbattuto sulla Bash di Linux, l’interprete di comandi script colpito dal gravissimo bug Shellshock, che troneggia indisturbato sulla maggior parte delle distribuzioni Unix come Debian, Red Hat, Ubuntu, Suse, Madriva, Mac OS, Android e su parte dei sistemi Windows che integrano il progetto Cygwin.

Per chi attendeva una patch che sistemasse la questione in modo definitivo, non c’è altro che una serie di informazioni poco confortanti, che vorrebbero Shellshock come la sola punta dell’iceberg di una situazione ancora più grave.Bug Shellshock: le patch non risolvono il problema Bash

Stando a quanto pubblicato su Arstechnica, infatti, la bash avrebbe qualche carenza nella gestione delle variabili dell’interprete dei comandi.

In pratica, secondo quanto rivelato da Red Hat, che ha scoperto la pericolosa falla, un qualsiasi malintenzionato potrebbe inviare una richiesta a un server Web o a un client DHCP o a qualsiasi altro sistema che usa Bash per interagire con il sistema operativo. Tale richiesta includerebbe i dati memorizzati in una variabile d’ambiente dell’interprete. Tali variabili sono come una sorta di blocco note, dove vengono memorizzate informazioni utili all’OS per funzionare meglio o per garantire la corretta esecuzione dei software. Il malintenzionato potrebbe modificare i dati di queste variabili, in modo da ingannare l’interprete Bash, obbligandolo a eseguire del codice malevolo come se si trattasse di un comando affidabile. Il bug Shellshock consiste proprio in questa capacità di ingannare l’interprete, permettendo agli hacker di eseguire programmi con lo stesso livello di accesso all’OS di Bash.

La gravità di Shellshock in Bash

A tutto questo si aggiungono le rivelazioni di alcuni sviluppatori, fra cui l’informatico David A. Wheeler, esperto di sicurezza nell’ambito dell’open source, secondo cui alla precedente vulnerabilità si aggiungerebbe l’opportunità di memorizzare dati dannosi anche all’interno di variabili denominati in modo simile ai comandi più frequentemente eseguiti in Bash.

Per esemplificare, Norihiro Tanaka, uno sviluppatore giapponese, ha notato il problema a carico di una variabile denominata cat, che ha quindi lo stesso nome dell’operatore di concatenazione file e che, in quanto tale, sarebbe in grado di superare le correzioni apportate dall’ultima patch rilasciata per Bash, semplicemente passando attraverso i comandi dell’interprete stesso.

Questa situazione sta portando azienda del calibro di Red Hat a distribuire nuovi update, mentre Oracle aspetta di terminare un’analisi completa sulle vulnerabilità prima di rilasciare il codice correttivo per i suoi 32 prodotti commerciali inficiati da Shellshock.

Apple, invece, rilascia patch relative ai suoi sistemi operativi Mac OS e conferma che solo gli utenti che hanno attivato i servizi Unix avanzati potrebbero aver problemi di sicurezza. Di contro, gli esperti sostengono che anche le patch di Cupertino sarebbero incomplete e non porrebbero reale rimedio al grave bug di Bash.

Allo stesso modo, Arstechnica arguisce che le patch rilasciate dalle grandi aziende IT non sarebbero risolutive e bisognerebbe applicare soluzioni drastiche a tal punto da paventare un’interruzione della retrocompatibilità con le vecchie versioni di Bash, con tutti i disagi che ne conseguirebbero, sia in termini di irraggiungibilità dei sistemi posti offline per effettuare l’aggiornamento sia di impossibilità ad aggiornare alcuni dispositivi.

Certo è che bisogna scegliere: o l’interruzione della retrocompatiblità o il rischio di una serie di exploit a effetto valanga, che sono già iniziati. Infatti, i ricercatori di Incapsula stimano che sulla base di Shellshock si sono già realizzati ben 725 assalti all’ora, per un totale di 17400 attacchi ai danni di oltre 1800 domini e provenienti da circa 400 IP unici distribuiti per la maggior parte nei territori della Cina e degli Stati Uniti.