Scovata una nuova vulnerabilità all’interno di Bash

I ricercatori del team Red Hat hanno scoperto una nuova vulnerabilità all’interno della shell di comando Bash, comune in OS X e Linux, attraverso la quale con il minimo sforzo potrebbe essere distribuito del codice infetto o potenzialmente dannoso.

bash

A causa dell’ubiquità della shell Bash, l’exploit potrebbe essere in grado di influenzare una vasta gamma di oggetti e dispositivi connessi alla rete, tra cui siti web non correttamente protetti, elettrodomestici, server, etc..

Il ricercatore nell’ambito della sicurezza informatica Robert Graham ha affermato sul suo blog che la vulnerabilità scovata in Bash potrebbe portare danni analoghi a quelli provocati dall’exploit Heartbleed, scoperto all’inizio dell’anno, il quale sfruttava una falla presente all’interno del protocollo OpenSSL.

I dispositivi appartenenti al comparto Internet-of-things sono particolarmente vulnerabili, in quanto gran parte del loro software interno è costruito con script in Bash attivati via web. Con queste premesse, non solo la vulnerabilità sarà più difficile da correggere, ma nel contempo più facilmente diffondibile.

A differenza di Heartbleed, che colpiva una specifica versione del protocollo OpenSSL, la falla presente in Bash è presente da molto tempo. Questo significa che moltissimi dispositivi più o meno datati ne sono afflitti.

In termini di numeri, questo exploit ha una potenzialità molto più grande di quella di Heartbleed.

Heartbleed aveva reso vulnerabile il 66% della rete globale. Nonostante ciò Apple, nel mese di aprile, aveva rassicurato gli utenti affermando che l’exploit non aveva colpito software o servizi essenziali, rilasciando in seguito le patch di sicurezza per AirPort Extreme ed Time Capsule.

La vulnerabilità in Bash affligge anche l’ultima versione di OS X Mavericks, la 10.9.5. È tuttavia probabile che Apple rilasci nel prossimo futuro un aggiornamento di sicurezza dedicato.



Fonte: MacRumors


2 commenti

  1. per verificare se il sistema è vulnerabile basta eseguire questo comando via terminale :

    ” env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’ ” (senza virgole)

    la risposta è : vulnerable hello. (yosemite)

  2. Scusate non ho ben capito, sfruttando questa vulnerabilità è possibile inviare tramite programmi che si interfacciano col web comandi sulla shell del server?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.