Gli attacchi del bug Shellshock sono così complicati che anche i migliori ricercatori di malware hanno difficoltà a capirlo. Gli utenti PC si chiedono come serio questi attacchi sono e se sono vulnerabili. L'Ingegnere di ricerca sulla sicurezza di FireEye Inc., Michael Lin, ha riassunto le informazioni note sul bug Shellshock e ciò che l'utente deve fare se colpiti. FireEye Inc., azienda sta fornendo di ricerca e di sicurezza dei prodotti, progettato per proteggere le reti del governo e l'impresa contro le minacce.
La natura di Shellshock
Shellshock è il soprannome del bug Bash, dove Bash viene decifrato come Bourne Again Shell. Il bug entra l'interprete della riga di comando, noto anche come 'il guscio'. Può sistemi operativi, tra cui molte versioni di Linux, UNIX, OSX di Apple e BSD utilizzare la shell Bash come loro interprete della riga di comando predefinito.
Gli esperti confermano che la shell Bash è disponibile in altri sistemi, come pure, tra cui Windows e Android, tuttavia non è installato su questi sistemi e non utilizzato per impostazione predefinita non.
Dopo il lancio del primo bug Shellshock, cioè CVE-2014-6271, altri bug Bash simili sono stati avvistati da diversi ricercatori. Rispetto ad essi, CVE-2014-6271 rimane il più significativo bug Shellshock e tutti i riferimenti sottostanti si riferiscono ad esso, salvo si afferma altrimenti nel caso specifico.
Chi può essere interessato dalla bug Shellshock?
Gli esperti di malware dicono che tutti gli utenti di Bash sono vulnerabili al bug Shellshock. Essi inoltre affermano che solo gli utenti di Bash che sono connessi a Internet sono quelli che sono aperti allo sfruttamento remoto. In aggiunta, software specifico è necessario al fine di garantire l'accesso utente malintenzionato di Bash.
I più vulnerabili di tutti e quelli che ci si aspetta siano mirati di più sono il sistema in esecuzione i server Internet. Più esposti al bug sono gli utenti di PC che hanno Bash, nel caso che usano le reti non attendibili come macchie internet wireless pubblici, per esempio.
Gli analisti di malware dicono che gli utenti medi di Internet non sono vulnerabili, se in esecuzione Windows, Androide, iOS o Mac OS. Nel caso, tuttavia, ci sono su server Internet compromessi, questi utenti sono esposti ad altri attacchi.
Dove si trova Shellshock bug?
Il bug Shellshock è posizionato nel codice di analisi di Bash. Gli esperti avevano trovato un errore nel modo in cui Bash analizza le variabili a propria sequenza di inizializzazione. Essi affermano che tutto ciò che può manipolare le variabili nell'ambiente porta il potenziale per essere tale vulnerabilità vettore.
Come fa Shellshock bug rendere gli utenti vulnerabili?
La natura dannoso del bug Bash si nasconde nel fatto che essa permette il criminale informatico per rendere gli stessi comandi come il vero utente. In altre parole, il bug Bush permette all'attaccante di fare sul computer quasi tutto ciò che l'utente può. Ulteriormente, l'attaccante che ha accesso vettore remoto può iniettare la Bash comandi sul sistema a distanza e senza bisogno di autenticazione.
All'inizio, l'attaccante si ha un accesso limitato per eseguire il Bash, ma una volta nel sistema, l'utente malintenzionato può ottenere diversi privilegi e, alla fine, di accesso guadagno di root.
Quali sono gli obiettivi del bug Shellshock?
Il bug Shellshock sta attaccando i server HTTP, client DHCP, i sistemi di SSC, i sistemi di stampa UNIX comune, e il browser plug-in.
I server HTTP
Il bug Shellshock è principalmente attaccando i server Web HTTP. Quei server che girano su FastCGI o CGI sono in grado di esporre Bash al vettore richiesta di HTTP. Le richieste HTTP dannose permettono ai criminali informatici di incorporare i comandi sul server e la Bash li possono seguire.
La Bash potrebbe essere poi chiamato immediatamente dallo script Bash o tramite un comando di sistema. Nel caso in cui la Bash viene avviato entro tale richiesta CGI di natura dannoso, allora il sistema diventa vulnerabile.
Contemporaneamente, il Perl, PHP, e / FastCGI molto probabilmente non saranno influenzati script Python che non sono chiamati attraverso i sistemi di cui sopra di CGI.
I client DHCP
I client Internet Systems Consortium DHCP sono anche bersaglio del bug Shellshock. Questo è valido per UNIX e il sistema Linux, ma non sta interessando il sistema OSX.
Il vettore viene attivato quando l'utente attaccato connette a un server DHCP che ha natura dannoso. Il client DHCP colpito utilizzerà le variabili del server DHCP e li salverà come variabili di ambiente. In questo modo il DHCP configurerà le interfacce di rete attraverso Bash. Ciò è possibile verificare quando l'utente effettua una connessione a un server DHCP canaglia o un punto Wi-Fi che è pubblico.
Durante l'attacco, il criminale informatico può anche usare il CGI vettore al fine di compromettere il servizio DHCP su un server che è legittimo.
SSH
La maggior parte dei sistemi SSH sono configurati in modo tale da limitare i comandi che l'utente può applicare. Gli aggressori utilizzano il bug Bash qui per andare al di là delle restrizioni applicate. Questo però richiede l'autenticazione e per questo motivo questo vettore offre escalation di privilegi.
I sistemi che utilizzano SSH, compresi rsync, tu vai, rlogin, sovversione, e altri possono anche essere influenzati.
Sistema Common Unix Printing (CUPS)
Un server di stampa, il Common UNIX Printing System è disponibile in molti UNIX, Sistemi BSD e Linux. Funziona con variabili che vengono controllati dall'utente e basata su di essi sono impostate le variabili di ambiente durante l'elaborazione dei filtri. Esso può fungere da vettore per la vulnerabilità, nel caso in cui Bash viene inizializzato dal sistema di stampa Common UNIX durante questo processo.
Attualmente, questo vettore è teorica.
Browser Plug-in
I plug-in di terze parti possono anche esistere, che impostare le variabili d'ambiente attraverso i valori controllati dagli utenti. Questo può comportare un vettore troppo, tuttavia questo è ancora sulla teoria solo.
