In Linux c'è un pericoloso bug i cui effetti potrebbero essere anche peggiori del famigerato Hearthbleed. I ricercatori di Red Hat lo hanno battezzato "Bash Bug" (o Shellshock) perché riguarda appunto la shell Bash, "forse una delle utility più installate su tutti i sistemi Linux". Se sfruttato, questo bug permette l'esecuzione di codice arbitrario sui sistemi Linux, e il pericolo riguarda in particolare milioni di server in tutto il mondo.
Il problema sta nel fatto che è possibile "creare variabili d'ambiente con valori manipolati prima di chiamare la shell bash. Queste variabili possono contenere codice, che sarà eseguito non appena s'invoca la shell", si legge sul post di Red Hat. Non si tratta di un problema teorico ma è ormai una zero-day: si sono già individuati attacchi che sfruttano questo bug.
Red Hat ha già pubblicato correzioni parziali per Red Hat Enterprise Linux e Fedora, ma il problema riguarda così tanti sistemi che è impossibile dire con certezza quanto tempo ci vorrà per correggerlo. Oltre ai sistemi Linux, poi, Bash Bug riguarda anche OS X - trattandosi di un difetto insito nella comune base Unix. Gli utenti Apple possono seguire queste istruzioni per verificare se sono esposti.
"Bash è il software usato per controllare il prompt dei comandi su molti computer Linux", si legge su The Guardian. Se un criminale ne dovesse prendere il controllo sfruttando questo bug, quindi, potrebbe potenzialmente fare danni molto ingenti. A ragion veduta, quindi, persino il Dipartimento per la Sicurezza Nazionale (Homeland Security, DHS) ha pubblicato un allarme a riguardo, insieme a una pagina per approfondire.
"Non saremo mai in grado di catalogare tutti i software vulnerabili a Bash Bug", ha scritto Robert Graham di Errata Security. "È subdolo, cattivo e resterà con noi per anni", gli fa eco Nicholas Weaver (Berkeley ICSI). Come abbiamo visto nel caso di Hearthbleed, continua Graham, "sei mesi dopo centinaia di migliaia di sistemi sono ancora vulnerabili. Raramente sono cose come i webserver, ma più spesso oggetti collegati a Internet come le videocamere".
E come nel caso di Hearthbleed anche Bash Bug esiste da moltissimi anni, "ciò significa", spiega Graham, "che ci sono un mucchio di vecchi dispositivi vulnerabili. Il numero di sistemi che non riceveranno una patch è molto più grande che con Hearthbleed".
Ci vuole un logo, questo potrebbe vincere?
Anche Akamai, il distributore di contenuti più grande al mondo, che consiglia anche alcune possibili soluzioni dà la propria conferma insieme a qualche consiglio per attenuare il problema, come "aggiornare a una nuova versione di bash, sostituire bash con una shell alternativa, limitare l'accesso ai servizi vulnerabili o filtrare gli input ai servizi vulnerabili.
Il problema sembra quindi davvero molto grave, e come con Hearthbleed ce lo porteremo dietro per mesi, forse anni. L'unica magra consolazione è che buona parte dei sistemi saranno aggiornati nei prossimi giorni: nel mondo della sicurezza IT infatti ci si è attivati subito per creare e installare patch correttive. Comunque, per ora, sono ancora tanti quelli che non hanno idea di cosa stia accadendo.