ShellShock, come patchare Linux e Mac per proteggersi

ShellShock, come patchare Linux e Mac per proteggersi

Aggiornamento: per sapere come proteggere il Mac da ShellShock clicca qui: Apple pubblica l’aggiornamento per ShellShock.

Come avrete avuto forse modo di leggere, ShellShock (CVE-2014-6271) è la falla informatica che riguarda sistemi Linux e Mac che permette, grazie agli input non filtrati da cav, ad un attaccante remoto di eseguire codice arbitrario mediante shell BASH. Il tutto si basa su un input malformato, che permette all’attaccante di inserire qualsiasi comando sulla shell che sia eventualmente, di suo, sprotetta da password o comunque accessibile dall’esterno. Il problema rischia di diventare molto grosso, del resto, se si considera che i dispositivi ed i server più vecchi affetti dal problema non saranno, in molti casi, affatto aggiornati.

Attenzione perchè, secondo una notizia circolata successivamente, è circolata una seconda falla similare alla prima CVE-2014-7169, che deve essere corretta aggiornando come specificato di seguito.

Concretamente, il vostro sito (visto che parliamo molto di hosting) può essere a rischio se il provider che utilizzate (oppure se il vostro sistemista, nel caso di VPS o di hosting dedicati o cloud) non vada ad effettuare subito un aggiornamento del sistema operativo: ma andiamo per ordine, giusto per capire prima le tipologie di attacco. Le opportunità sui siti vulnerabili sono potenzialmente illimitate, e vanno dalla possibilità di scaricare in chiaro il contenuto del file delle password passwd, all’eseguire comandi remoti arbitrari come quelli per sfruttare il server come mezzo per mandare spam. Nel concreto, quello che potrebbe succede è un attacco capace di effettuare potenzialmente qualsiasi comando remoto sul vostro server, compresa l’esecuzione di comandi che cancellano o alterano tutti i dati, cambiano la password di amministratore e così via.

Come effettuare il check di vulnerabilità

Su Debian, si va a lanciare un primo update dopo aver fatto login da amministratori.

env x='() { :;}; echo vulnerabile' bash -c "echo 123prova"

Se appare nell’output la scritta vulnerabile siete vulnerabili e dovreste aggiornare quanto prima, altrimenti no.

Mac

Tutte le attuali versioni di OS/X (fino alla 10.9.5) sono affette dalla falla in questione: c’è anche da dire, per evitare inutili allarmismi, che se usate Mac per connettervi ad internet e non si tratta di una macchina pensata per il pubblico accesso in rete (come un server web o un servizio esposto su qualche porta) ma solo per uso domestico/ufficio, le protezioni di Apple (firewall) dovrebbero bastare a risparmiavi, nella pratica, con buona probabilità l’attacco.

Per sapere che tipo di shell state facendo funzionare digitate:

 $ bash --version
GNU bash, version 3.2.51(1)-release (x86_64-apple-darwin13)
Copyright (C) 2007 Free Software Foundation, Inc.

che mostrerà, in questo caso, una shell BASH versione 3.2.51 (fino alla quale siete vulnerabili).

Apple dovrebbe proporre la patch per risolvere il problema a breve, nel frattempo la soluzione per stare più al sicuro è questa: in pratica dovrete ricompilare la shell BASH, e per farlo la sequenza di istruzioni da impartire è la seguente.

$ # If you want to disable auto-imported functions, uncomment the following
$ # export ADD_IMPORT_FUNCTIONS_PATCH=YES
$ mkdir bash-fix
$ cd bash-fix
$ curl https://opensource.apple.com/tarballs/bash/bash-92.tar.gz | tar zxf -
$ cd bash-92/bash-3.2
$ curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-052 | patch -p0    
$ curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-patches/bash32-053 | patch -p0  
$ # See note above about ADD_IMPORT_FUNCTIONS_PATCH
$ [ "$ADD_IMPORT_FUNCTIONS_PATCH" == "YES" ] && curl http://alblue.bandlem.com/import_functions.patch | patch -p0
$ cd ..
$ # Note: DO NOT ADD SUDO TO XCODEBUILD HERE
$ xcodebuild
$ build/Release/bash --version # GNU bash, version 3.2.53(1)-release
$ build/Release/sh --version   # GNU bash, version 3.2.53(1)-release
$ sudo cp /bin/bash /bin/bash.old
$ sudo cp /bin/sh /bin/sh.old
$ sudo cp build/Release/bash /bin
$ sudo cp build/Release/sh /bin

Per controllare che sia tutto ok, verificare che la versione attuale della BASH (col comando visto in precedenza) sia 3.2.53, e date il comando:

sudo chmod a-x /bin/bash.old /bin/sh.old

per essere sicuri di aver tolto di mezzo la shell fallata.

 

Ubuntu / Debian

Anzitutto, aggiornate il sistema via apt-get:

apt-get update && apt-get -y upgrade

Provate a vedere se col comando precedente appare la stessa risposta (vulnerabile), se appare aggiornate con:

apt-get install -y bash

A questo punto dovrebbe apparire qualcosa del genere:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'

E questo dovrebbe mettere fine alla falla e chiuderla (vale sia per Debian che per Ubuntu).

CentOS / Red Hat / Fedora

Per quanto riguarda queste versioni di Linux, il comando per aggiornare e patchare è il seguente:

sudo yum update bash

Su shellshocker.net, inoltre, è possibile sfruttare un tool per verificare se il proprio sito è vulnerabile: secondo le sue statistiche attuale circa il 2% dei siti sarebbe vulnerabile all’attacco, l’unico modo per proteggersi è quello di aggiornare come descritto i software sulle macchine, e farlo nel più breve tempo possibile. Attenzione perchè il sito in questione potrebbe raccogliere le informazioni sui siti per sferrare attacchi mirati, quindi è preferibile verificare la falla sempre da linea di comando.

Fonte: security stackexchange

Photo by thedescrier

Tophost
Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.