Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Come verificare se si è affetti da ShellShock sul proprio server

Su ShellShock, ovvero il bug della shell Bash che tanta discussione sta generando in rete e non solo, è stato scritto un po’ di tutto, col risultato che non sembrano esistere procedure chiare ed univoche per verificare se rischia qualcosa anche il nostro computer o meno. Verificare se si è affetti da ShellShock è possibile e necessario, ovviamente, soltanto se abbiamo installato UNIX (quindi ad esempio se abbiamo un Mac, che ha un sistema operativo basato su BSD) oppure Linux (ovvero se usiamo Ubuntu, Debian, RedHat e cosଠvia).

Per controllare se siamo vulnerabili basta lanciare un comando del genere da terminale:

env x='() { :;}; echo vulnerable' bash -c "echo ciao"

e verificare che non venga restituita la stringa

vulnerable

In caso ciò avvenisse, si deve aggiornare il sistema operativo e/o ricorrere a delle patch manuali per risolvere il problema. Non tutti i sistemi hanno proposto aggiornamenti tempestivi e, in alcuni casi, gli aggiornamenti risolvevano un problema introducendone uno ulteriore.

Quello che dobbiamo sapere, inoltre, si riassume nei seguenti punti.

  1. Da un punto di vista tecnico, il National Institute of Standards and Technology’s National Vulnerability Database ha classificato la vulnerabilità  10/10, evidenziandone cosଠla gravità  di fondo. Secondo US-CERT è possibile, in sintesi, “sfruttare la falla perchè un attaccante remoto possa eseguire arbitrariamente qualsiasi istruzione sul dispositivo connesso in rete“.
  2. Come sottolineato da Errata Security, non esiste un modo per quantificare l’entità  della falla come numero di dispositivi colpiti, analogamente a quanto successo con HeartBleed.
  3. Da un punto di vista pratico, l’esposizione della falla è parecchio subdola: se è vero che moltissimi dispositivi sono connessi ad internet di default e sono Linux-based in molti casi, non è detto che abbiano una shell attiva ed accessibile dall’esterno.
  4. I computer ed i dispositivi basati su Windows o su altri sistemi operativi, se ci fosse bisogno di scriverlo, non rischiano nulla e non devono aggiornare nulla, a meno che non facciano uso di Linux mediante CygWin e analoghi software.
  5. Nel caso dei computer per uso casa o ufficio, cioè che usate per scrivere email, per navigare e via dicendo, il rischio potrebbe essere decisamente più contenuto di quanto l’allarmismo possa portarvi a credere.
  6. Nel caso del cosidetto internet delle cose, invece, nonchè di numerosissimi hosting commerciali e gratuiti, la questione è decisamente più sostanziale: secondo Bitdefender ad esempio “buona parte dell’internet delle cose funziona con sistemi UNIX e Linux-based, ed include una shell bash al proprio interno: essi permettono spesso anche l’esecuzione di script CGI che si basano su questo tipo di terminale, esponendo cosଠad un certo tipo di rischi le macchine in questione“.
  7. Molti dispositivi che siano accessibili e configurabili mediante interfacce web sono di fatto esposte, con probabilità  variabili, ai rischi in questione.
  8. Tutti gli hosting web basati su Linux, oltre a tutti i sistemisti di OSX, devono (se non l’hanno già  fatto) sistemare la falla seguendo le procedure di aggiornamento automatiche o manuali per Mac e per Linux.
Ti potrebbe interessare:  Chi è uno «sciantiglione»?

Da non perdere 👇👇👇



Trovalost esiste da 4440 giorni (12 anni), e contiene ad oggi 4026 articoli (circa 3.220.800 parole in tutto) e 12 servizi online gratuiti. – Leggi un altro articolo a caso
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo.it - Pagare.online - Trovalost.it.