A sei mesi da Heartbleed, il pericolosissimo bug riscontrato nel protocollo SSL, arriva una nuova minaccia che potrebbe mettere in ginocchio la rete. Si chiama Shellshock (o Bash Bug) e infligge la shell Bash di Linux, una delle utility più installate e utilizzate nel sistema operativo. Qualora venisse sfruttato a dovere, questa vulnerabilità permetterebbe l'esecuzione di codice arbitrario su milioni di server Linux sparsi in tutto il mondo.
A scoprire il bug sono stati gli esperti in sicurezza di Red Hat, che hanno messo in evidenza la vulnerabilità spiegando che permetterebbe di "creare variabili d'ambiente con valori manipolati prima di chiamare la shell bash. Queste variabili possono contenere codice, che sarà eseguito non appena s'invoca la shell". E il problema più grave è che non si tratta di una vulnerabilità teorica, ma che scoperto il bug si sono già riusciti a individuare una serie di attacchi che lo hanno sfruttato in precedenza.
"Non saremo mai in grado di catalogare tutti i software vulnerabili a Bash Bug" – scrive Robert Graham di Errata Security – "È subdolo, cattivo e resterà con noi per anni". Dello stesso parere anche Nicholas Weaver do Berkeley ICSI, che ricorda come a sei mesi da Hearthbleed "centinaia di migliaia di sistemi sono ancora vulnerabili. Raramente sono cose come i webserver, ma più spesso oggetti collegati a Internet come le videocamere".
Il problema è davvero molto grave, perché proprio come è capitato con Hearthbleed anche Bash Bug esiste da molti anni, il che significa che i dispositivi vunlerabili sono tantissimi ed essendo un bug correggibile solo dagli amministratori di sistema, il numero dei computer che non verranno aggiornati con una patch correttiva è molto più grande rispetto a quanto visto con il bug dell'SSL. E addirittura il Dipartimento per la Sicurezza Nazionale degli Stati Uniti d'America ha reso pubblico un allarme a riguardo, seguito da una pagina dedicata all'approfondimento della vulnerabilità.
"Bash è il software usato per accedere al prompt dei comandi su molti computer Linux", spieta il The Guardian, ed è altamente probabile che i sistemi informatici di tutto il mondo ne risentiranno per tantissimo tempo.
