Shellshock è la nuova falla di sicurezza scoperta dal team di Red Hat che coinvolge l’eseguibile shell di bash.

Definita anche Bash Bug, Shellshock è la falla in bash (uno dei tool maggiormente installati su sistemi Linux e Mac OS X), che permette di creare variabili, contenenti un codice malevolo, prima dell’apertura della shell, in sostanza: il terminale.

Di conseguenza le variabili vengono eseguite immediatamente dopo l’apertura della shell, spianando la strada ad una serie di attacchi mirati.

E’ possibile effettuare un test per capire se la vostra shell è vulnerabile o meno con questo comando:

env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”

bug bash

Secondo Robert Graham di Errata Security, Bash bug interessa anche dispositivi secondari, come sistemi di videosorveglianza o piccoli server telnet, FTP ecc, che non possono ricevere aggiornamenti software perché ormai obsoleti.

Il problema è acuito dal fatto che non si ha idea delle tempistiche di risoluzione, nonostante Fedora e Red Hat abbiano rilasciato delle patch per chiudere la falla, conoscere i tempi di messa in sicurezza di tutti i sistemi è pressoché impossibile. Ad ogni modo consigliamo a tutti di eseguire un aggiornamento del sistema tramite i tool della distribuzione linux che utilizzate (apt-get yum ecc).

La vulnerabilità in sè non è da considerarsi grave se non vi sono demoni attivi come Apache che richiamano ad esempio script CGI che permettono l’esecuzione di comandi direttamente nel termine (bash).