Статьи

Bash-естве: серйозний баг в популярній командній оболонці

Минулий тиждень ознаменувався черговим глобальним «сигналом тривоги» для нашої області: у всіх * Nix-подібних системах, включаючи Mac OS X, виявилася критична уразливість, за масштабами і серйозності близька, а, можливо, і перевершує горезвісний Heartbleed, виявлений в квітні. Деякі експерти схильні применшувати серйозність цього бага, інші, навпаки, вважають, що це Heartbleed 2.0, а то й гірше. Зустрітися з BASH-вразливістю, також відомої під найменуванням ShellShock.

В чому справа?

Уразливість виявлена ​​в командній оболонці Bourne again shell (скор. BASH), написаної для Unix в 1989 році. Ця оболонка за замовчуванням використовується в Linux і Mac OS X, що означає вразливість і цих систем.

Пролом, яку виявив Стефан Чазелас з Akamai, дозволяє атакуючому віддалено «приєднати» шкідливий виконуваний код до змінної, яка виповнюється при виклику Bash .

У Національній базі вразливостей США цей пролом фігурує під індексом CVE-2014-6271 . Фахівці з американської Комп'ютерної групи реагування на надзвичайні ситуації (CERT) описали її так : «Ця вразливість дозволяє зловмисникам передавати спеціально створені змінні оточення, що містять довільні команди, які можуть виконуватися на вразливих системах. Це особливо небезпечно у зв'язку з тим, що оболонка Bash дуже поширена і може бути викликана додатками різними способами ».

Більш технічний опис є на сайті Національної бази уразливості . Там згадується, що атакуючі можуть використовувати в якості вектора атаки функцію ForceCommand в OpensSH sshd, модулі mod_cgi і mod_cgid в HTTP-сервері Apache, скрипти, виконувані DHCP-клієнтами та ін.

Проблемі майже чверть століття. І оскільки Bash використовується повсюдно, пролом також виявляється всюдисущої.

Подробиці також можна знайти на Securelist .

Що говорять?

Крайню серйозність уразливості не заперечує ніхто. Той факт, що її дуже просто експлуатувати, а також її висока потенційна шкідливість і присутність майже в будь-який * Nix-системі, робить її особливо страхітливою. CERT присвоїв їй 10 з 10 балів за шкалою загроз.

В повідомленні від Red Hat говориться: «Ця вразливість CVE-2014-6271 допускає до виконання довільного коду. Певні служби і додатки дозволяють атакуючим, віддалено і в обхід будь-якої аутентифікації задавати змінні середовищ і тим самим експлуатувати проблему ... Ця проблема зачіпає всі продукти, які використовують Bash і здійснюють парсинг значень змінних середовищ. Загроза особливо велика, оскільки існує безліч способів виклику Bash з боку різних додатків. Досить приватно якщо додаток виконує інший двійковий код, для цього також викликається Bash. »

Згідно Ars Technica , «Якщо Bash є системною командною оболонкою за замовчуванням, зловмисники можуть використовувати його для віддалених атак на сервери та інші пристрої, що використовують Unix і Linux, через Інтернет-дзвінки, захищену командну оболонку, сесії telnet і інші програми, які використовують Bash для запуску скриптів» .

Роберт Грем з Errata Security упевнений, що #BashBug нітрохи не менш небезпечний, ніж Heartbleed , A то й представляє ще більшу загрозу.

«Величезна кількість ПО взаємодіє з цією оболонкою тим чи іншим способом», - написав він. - «Таким чином, ми ніколи не зможемо скласти повний список ПО, уразливого через проломи Bash. Тим самим виявляється схожість з проломом в OpensSSL: OpenSSL присутній в незліченній кількості ПО, так що в повній мірі оцінити, яка частина ПО вразлива, не представляється можливим ».

Грем також вказує, що баг особливо небезпечний для пристроїв, що належать до т.зв. «Інтернету-речей» - відеокамер, наприклад, оскільки «значна частина їх прошивок складається з скриптів Bash з прямим підключенням до Мережі. Таким чином, їх не тільки складно пропатчити, через них цю уразливість ще й найпростіше експлуатувати ».

Ну, а якщо згадати, що значна частина пристроїв такого роду взагалі неможливо перепрошити, ситуація виглядає, м'яко кажучи, неважливо.

Ну, а з іншого боку, експерти Rapid7 кажуть , Що вони б не поспішали вбудовуватися в загальний тривожний хор з приводу того, що нова уразливість - це Heartbleed 2.0, оскільки, мовляв, необхідні умови для віддаленої експлуатації не є загальнопоширеними.

«Для кожного порушеного додатки вектор експлуатації буде дещо іншим або умови доступу до уразливому коду будуть виглядати інакше, ніж в іншому додатку. Це може значно обмежити поширеність атак. Щодо Heartbleed простіше було зробити будь-які остаточні висновки, і наслідки були куди більш широкими ».

Проте, Роберт Грем вказує в своєму пості , Що Shellshock можна експлуатувати за допомогою хробака. Він справив первинне сканування і негайно виявив «близько 3000 систем, уразливих через один тільки порт 80, через корінь URL (« / »), без поля Host». На думку Грема, вразливостей насправді куди обольше. І - увага! - хтось вже виробляє масове сканування і намагається поширювати шкідливе ПЗ. «Швидше за все, вони вже встигнуть скомпрометувати більшу частину систем, які я виявив, до ранку. Якщо вони будуть використовувати інші URL і поправлять поле Host, «успіхи» їх будуть набагато більші ».

Як вам звук цокаючий годин?

Як вам звук цокаючий годин

віддалені атаки

Ключове питання: як просто буде експлуатувати цю уразливість для виробництва віддалених атак? Умови для експлуатації «не є загальнопоширеними» (до речі, Red Hat їх перераховує ). Однак атаки все одно цілком вірогідні. Вольфганг Кандек, технічний директор компанії Qualys, пропонує такий сценарій:

«Bash дуже часто використовується при установці ПО через Мережу для виконання команд, що відкриває досить цікавий вектор атаки. Уявіть собі вебсервер, який дозволяє опитувати командою ping IP-адреса (така функція є у мого домашнього роутера, наприклад); швидше за все, він просто викличе виконуваний файл, який зробить процедуру ping, використовуючи задані вами параметри, найімовірніше, перевіряючи, наскільки задана величина коректно отформатірованна - тобто, чи є це IP-адресою. З вразливістю CVE-2014-6271, якщо ви можете контролювати значення змінної середовища, заданої командній оболонці, то ви можете запускати довільні команди. Контролювати змінну сердитися не так складно, оскільки у атакуючого вже є великий їх діапазон - наприклад, установки для реферера або UserAgent. Відповідно, нескладно уявити сценарій, в рамках якого установка CGI-BIN використовується для виконання команд на сервері, - атаку провести виявляється цілком просто ».

патчі

А ось тут все складно. Виправлення для CVE-2014-6271 Red Hat випустив вельми оперативно, проте швидко з'ясувалося, що латочка неповна і що вразливість як і раніше можна експлуатувати.

До Національного реєстру вразливостей внесли новий рядок - CVE-2014-7169, і для неї теж були написані патчі. Однак і ті, які були вже написані, виявилися з різних причин практично марними. В результаті зареєстровані ще два індекси - CVE-2014-7186 і CVE-2014-7187.

На щастя, виправлення все-таки надходять. Про них в наступному пості.

Чи не час нам трохи попаніковать?

Це непрактично.

І що тепер?

Для початку, перевірте, чи є у вас де-небудь вразливі версії Bash. можна скористатися ось цим інструментом .

Якщо у вашій мережі є embedded-пристрої з прошивками, які не піддаються зміні, їх треба ховати - за великий, жирний фаерволл.

Користувачі Apple Mac OS X можуть видихнути: за замовчуванням Mac OS X не схильна до цієї вразливості. Якщо, звичайно, на ній не сконфігуровані будь-які «Специфічні служби UNIX» . Для тих, у кого ці служби є, готується патч.

Про патчах для решти постраждалих читайте в наступному пості.

В чому справа?
Що говорять?
Як вам звук цокаючий годин?
Чи не час нам трохи попаніковать?
І що тепер?

Новости

Как создать фото из видео
Кризис заставляет искать дополнительные источники дохода. Одним из таких источников может стать торговля на валютном рынке Форекс. Но чтобы не потерять свои деньги необходимо работать с надежным брокером.

Как оформить группу в вконтакте видео
Дано хотел свой магазин в вк, но не знал с чего начать его делать. Так как хотелось не банальный магазин с кучей ссылок и фото, а красиво оформленный. С меню, с аватаркой. После просмотра видео создал

Как оформить диск малыш от рождения до года из фото и видео
Оформить диск "Малыш от рождения до года" из фото и видео можно совершенно разными способами! Кто-то для достижения данной цели идет на шоу-таланты, кто-то пользуется услугами профессионалов, а кто-то