Che cos’è la vulnerabilità di Bash e come ci può colpire

26 Set 2014

Dopo quella che sembrava la più sconvolgente vulerabilità mai esistita (Heartbleed), emerge un nuovo pericoloso bug: Bash, acronimo di Bourne again shell. Nonostante non si sappia ancora quanto sia pericoloso, la notizia ha fatto il giro del mondo; sicuramente molti di voi ne hanno sentito parlare in alcuni media.

Bush

 Che cos’è Bash?

Bash è un tipo di shell, interfaccia usata da un operatore per inserire comandi da passare al sistema operativo, spesso utilizzata per automatizzare elenchi di comandi da eseguire in sequenza o come operazioni ripetitive (“shell script”). La Bash shell (da qui Bourne Again Shell) è dunque un linguaggio di script utilizzato per inserire comandi, sviluppato da GNU Projet nel 1989. In poche parole, invia e interpreta comandi. Se ne volete sapere di più potete informarvi sulla pagina ufficiale di GNU.org.

Bash è presente nella maggior parte dei sistemi Unix e Linux e, a quanto pare, anche nel sistema OS X di Apple che prende in prestito molti elementi sia da Unix, che da Linux. Oltre a questo, la Bash è presente in un numero altissimo di servizi Web, negli elettrodomestici e altri apparecchi per la casa – includendo i router e i modem, ma non in forma esclusiva -, così come la maggior parte dei dispositivi che si appoggiano ad una network o dei sistemi connessi a Internet.

La vulnerabilità di Bash è stata scoperta da Stephane Chazelas, ricercatore Unix e Linux presso l’azienda di sicurezza informatica Akami. Come potete immaginare, la vulnerabilità esiste un bel po’, da circa 20 anni. Come HeartBleed, possiamo solo sperare che Chazelas sia stata la prima persona a trovare il bug, tuttavia non lo sapremo mai con certezza.

In che modo ci potrebbe colpire la vulnerabilità di Bush?

Non ci vorrà molto tempo prima che appaia il primo exploit in-the-wild capace di sfruttare la vulnerabilità di Bash. Questi exploit permetteranno ad un ipotetico hacker/criminale di attaccare in remoto un file eseguibile dannoso, stringhe di codici o script che possono essere eseguiti o interpretati quando Bash venga chiamato in causa. In altre parole, dopo aver confezionato un exploit di successo, un attaccante potrebbe ottenere il controllo completo dei sistemi interessati.

“Beh, per un cybercriminale è molto più facile sfruttare Heartbleed. Inoltre, nel caso di HeartBleed, un criminale potrebbe solo rubare dati dalla memoria, sperando di trovare qualcosa di interessate da poter usare. Al contrario con la vulnerabilità di Bash è molto più facile ottenere il controllo completo del sistema. Per questo, Bash sembra molto più pericolosa”

Abbiamo chiesto ai nostri amici del Global Research and Analysis Team (GReAT) di Kaspersky Lab se Bash potrebbe considerarsi il nuovo Heartbleed:

“Beh, per un cybercriminale è molto più facile sfruttare Heartbleed. Inoltre, nel caso di Heartbleed, un criminale potrebbe solo rubare dati dalla memoria, sperando di trovare qualcosa di interessate da poter usare. Al contrario con la vulnerabilità di Bash è molto più facile ottenere il controllo completo del sistema. Per questo, Bash sembra molto più pericolosa”.

I ricercatori di Kaspersky Lab hanno anche immaginato uno scenario in cui Bash potrebbe essere usata per rubare informazioni bancarie e eventualmente soldi. È vero che è possibile per un cybercriminale sfruttare Bash e rubare le credenziali attraverso il computer, ma la persona in questione dovrebbe trovare un vettore exploit per accedere ai comanti dell’interfaccia di Bash – e questo non è facile. È molto più realistico che un hacker punti a un server usato dal sito della banca online della vittima e cerchi di rubare una manciata di account di online banking.

L’avviso emesso dal United States Computer Emergency Readiness Team riassume molto bene la criticità del bug:

“In base agli standard industriali, la vulnerabilità è stata classificata come ad “Alto impatto”, con uno score pari a 10, in base al Common Vulnerability Scoring System (CVSS); mentre è “Bassa” per complessità, il che significa che sono necessarie poche abilità per realizzarla. La falla permette a un hacker di ottenere speciali variabili ambientali contenenti comandi arbitrari che possono essere eseguiti sui sistemi vulnerabili. Questo è particolarmente pericoloso per via dell’uso prevalente della Bash shell e della sua abilità di essere richiamata da un’applicazione in molti modi diversi”.

Che la vulnerabilità di Bash abbia un alto impatto e che sia facile da sfruttare è un’altro grande punto che la differenzia da Heartbleed, che invece ha un grande impatto, ma è difficile da sfruttare.

Come ci possiamo proteggere?

L’unica cosa che possiamo fare è proteggerci, installare gli aggiornamenti specifici in base al vendor non appena escono. Riguardo al sistema operativo del computer/portatile, bisognerà aspettare che le persone che gestiscono questa particolare distribuzione lancino la patch.

Rispetto ai router e ai modem, o ad altri apparecchi per la casa, non verrà rilasciata una soluzione valida per tutti. Lo scenario più probabile è che i creatori di tutti questi dispositivi rilasceranno degli aggiornamenti per i firmware, singolarmente e in base alle proprie scadenze. Questi aggiornamenti, nella maggior parte dei casi, non si installeranno come un update tradizionale per OS.

L’aspetto problematico, come sottolineano i ricercatori del GreAT, è che la Bash è molto versatile e viene usata in un sacco di modi diversi, perciò le patch potranno tamponare il problema fino ad un certo punto. Risolvere la vulnerabilità di Bash sarà un po’ un processo per tentativo/errore, e proprio per questo molti ricercatori e rappresentanti del settore hanno etichettato come “incompleto” il primo round di patch contro Bash.

Un altro problema che vorrei sottolineare è che i sistemi Unix sono ovunque; perciò Bash è ovunque. Ci saranno dunque macchine con Unix che non potranno essere aggiornate, e altre in cui Bash è attivo ma nessuno lo sa. Come Robert Graham di ErrataSec ha scritto nel suo blog (ve lo raccomandiamo), “il numero dei sistemi che hanno bisogno di una patch, ma che non l`avranno, supera quello di Heartbleed”. Per darvi qualche cifra, Graham afferma che sono centinaia di migliaia i siti interessati da HeartBleed.