Директор по продукту Валарм и бывший главный редактор журнала «Хакер» Степан Ильин попытался разобраться в ситуации с недавно обнаруженной ошибкой в командной оболочке Bash, которую уже окрестили «новым Heartbleed».
Это все на данный момент почта фотографии из очереди для XBox или iPhone, у нас тут настоящий «интернет-взломщик».
Возможно, вы уже ни с того ни с сего слышал о какой-то ошибке в командной оболочке Bash (она же Shellshock, хотя я предпочитаю BashDoor).
Короче говоря, эта уязвимость позволяет удаленно выполнять произвольные команды.
На ваших компьютерах Mac, серверах, домашних маршрутизаторах и даже камерах Wi-Fi с веб-интерфейсом.
Не всегда, конечно, и с некоторыми оговорками – но очень часто.
И это не единственная плохая новость.
На самом деле их пять.
1. До сих пор нет рабочего патча
Представьте себе масштаб катастрофы: Bash используется практически во всех Linux, BSD и OS X — а нормального патча нет. История забавная, потому что патч уже вышел, но проблему он не вылечил.Похоже, единственный способ исправить Bash прямо сейчас — вручную отключить функцию импорта в исходниках и все такое.
перестроить , но это вариант для очень смелых.
На ссылку лучше даже не переходить.
2. Даже когда выйдет патч, ShellShock все равно будет существовать еще очень долго.
Маршрутизаторы, веб-камеры, NAS и новомодный Интернет вещей — уязвимая версия Bash останется на множестве устройств еще долгие годы.
Нужно ли вам говорить, как часто они обновляются (без механизма автообновления) и для скольких из них вообще не будет новых прошивок? В ближайшем будущем появятся новые истории о майнинге биткойнов на тысячах зараженных NAS.
3. Эксплуатировать эту уязвимость настолько просто, что становится страшно (скриптов и инструментов предостаточно.
представлен на Гитхабе) Трудно представить, сколько людей сейчас сканируют все IP подряд в поисках уязвимых сервисов по примеру Роберт Грэм .
Этот просто посчитал, сколько из протестированных серверов выполнят команду ping его хосту — повторять такую безобидную вещь уже неинтересно.
Уже есть подтвержденные примеры использования ShellShock вредоносного ПО и лавинообразного заражения серверов.
4. Используете ли вы Git/Subversion? Отлично, они тоже уязвимы (по крайней мере, если настроена поддержка SSH).
Фактически любой пользователь системы контроля версий уже имеет доступ к ОС, но без прав на выполнение команд. ShellShock позволяет обойти это ограничение и получить оболочку (возможность выполнять команды).
Единственная хорошая новость заключается в том, что во многих ОС для пользователя git по умолчанию используется Secure Dash вместо bash (например, Debian).
Наконец, мое любимое занятие — не расслабляться, думая, что ShellShock вас не касается.
5. Уязвимость может быть использована через протокол DHCP — тот самый, который используется для раздачи IP-адресов.
Представь.
Вы подключаетесь к своей сети Wi-Fi и вместе с IP-бонусом получаете еще и боевую полезную нагрузку — трояна.
Самый эпический вектор (вот демонстрация ), не иначе.
Виндуятники это запомнят надолго.
P.S. Самая большая привлекательность сейчас — это веб-приложения, использующие CGI-скрипты (через mod_cgi и mod_cgid), их много — и они сейчас очень широко распространены.
Проверить уязвимость сервиса легко — здесь Здесь .
Как вы можете защитить себя от этого? Подключите WAF (брандмауэр веб-приложений), который отразит атаки, скроет/изолирует уязвимый сервер и жестко отключит часть приложения, реализованную через CGI. И молитесь, чтобы патч вышел сегодня.
-
Открытый Блог Medium От Создателей Twitter
19 Oct, 24 -
Запуск Ванильного Ядра На Intel Galileo
19 Oct, 24 -
День Чистой Мыши
19 Oct, 24 -
Робот Удалил Опухоль Головного Мозга
19 Oct, 24 -
Котлин 1.0. Задайте Вопрос Команде
19 Oct, 24 -
Сбербанк - Народный Банк
19 Oct, 24
