E’ passata una settimana da quando alcuni ricercatori hanno scoperto Shellshock, una vulnerabilità presente all’interno della bash dei sistemi operativi Unix-like. Questo bug ha esposto per anni milioni di dispositivi ad attacchi da remoto, ma dal momento che le principali aziende coinvolte, tra cui Apple, hanno rilasciato aggiornamenti di sicurezza, adesso è il momento di fare la conta dei danni.

Per capire quanti danni ha fatto Shellshock, un’azienda di ottimizzazione web, CloudFare, ha tracciato gli attacchi scoprendo che la scorsa notte è stata raggiunta quota 1.1 milioni. La maggior parte degli attacchi sembra derivare da indirizzi IP francesi, anche se è difficile dire dove gli attaccanti fosero localizzati e se il traffico fosse semplicemente instradato.

Anche il sistema operativo Mac OS X utilizza la shell Bash e ciò ha portato Apple a rilasciare un aggiornamento di sicurezza. Secondo i ricercatori di FireEye, sebbene la Bash di OS X sia vulnerabile, non vi sono prove riguardanti attacchi verso computer Apple. Nella rete, tuttavia, la maggior parte degli attacchi è stata effettuata verso server che sono vulnerabili ad attacchi basati su HTTP.

I maggiori danni sono giunti da un’inattesa linea di attacco, scoperta da FireEye, che ha utilizzato Shellshock per eludere completamente i computer. L’obiettivo, infatti, non era attaccare computer bensì i dispositivi NAS (Network Attached Storage) connessi alla rete. Dal momento che i NAS utilizzano la Bash per comunicare, gli attaccanti sono stati capaci di accedere ad ogni dato sul dispositivo e aggiungere la loro chiave SSH al file “authorized_keys”, in modo tale da creare una backdoor. In questo modo la backdoor può essere attaccata in un secondo momento e al tempo stesso tutto ciò dimostra come sia facile poter attaccare computer e sistemi in cui vi sia presente il bug Shellshock.

Anche se la vulnerabilità è stato riparata in meno di una settimana, i danni potrebbero venir fuori tra qualche mese o anche negli anni futuri, visto che alcuni attacchi, come quello descritto in precedenza, hanno posto backdoor per riaccedere a determinati network in futuro.

photo credit: finn via photopin cc