bash
Несколько дней прошло с того момента, как выяснилось, что все или почти все *Nix-системы подвержены серьёзной уязвимости в командной оболочке Bash. Поначалу было много споров о том, можно ли это считать новым Heartbleed, и по прошествии нескольких дней складывается впечатление, что да, это именно что Heartbleed 2.0. А то и посерьёзнее будет.
Как говорится в материале Securelist, «Эксплуатировать эту уязвимость киберпреступникам намного проще, чем Heartbleed. К тому же, в случае с Heartbleed, преступник мог только вытягивать данные из памяти, надеясь отыскать что-либо интересное. В свою очередь, уязвимость в Bash может обеспечить атакующим полный контроль над системой. Поэтому он выглядит намного более опасным.»
BashBug по прошествии нескольких дней
Tweet
Простота эксплуатирования обеспечила избыточное количество концептов и рабочих эксплойтов. Почти сразу появилась информация об ограниченном количестве направленных атак. И хотя пока реальный ущерб оценить довольно сложно, спустя несколько часов после публикации сведений об этой уязвимости, стало известно, что кто-то уже начал массовое сканирование и распространение вредоносного ПО по уязвимым серверам.
Роберт Грэм из Errata Security, заявил, что уязвимость можно эксплуатировать для создания червя, и такой червь не замедлил появиться, да ещё с нахальной благодарностью Грэму в коде.
По всей видимости, некоторая доля успеха у этих усилий уже имеется: итальянская фирма, специализирующаяся на вопросах информационной безопасности, обнаружила, что с помощью ShellShock/BashBug активно строится ботнет под кодовым названием wopbot, работающий на базе серверов под Linux. Ботнет продолжает расширяться, автоматически заражая новые серверы.
Кроме того, с этого же ботнета осуществляются DDoS-атака на серверы Akamai, а также сканирование IP-адресов минообороны США, по-видимому, в порядке подготовки к брутфорсу.
К счастью, довольно быстро удалось выявить и закрыть командный сервер этого ботнета — он находился в Великобритании. Однако «раздающий» сервер с физическим расположением в США, работал и после этого.
Пока неясно, сколько серверов wopbot успел подмять под себя, но в теории это могут быть миллионы серверов под Apache, использующих CGI-скрипты.
К сожалению, скриптами дело не ограничивается.
Худшая проблема — та, которую невозможно исправить. В случае с Bashbug/Shellshock — это многочисленные устройства «интернета вещей», которым невозможно обновить прошивку. Некоторые используют Bash, и потому уязвимы, а значит, могут использоваться для атак.
#BashBug уже построил #ботнет
Tweet
Есть также проблема с другими сетевыми устройствами, использующими CGI-скрипты: например, роутеры, в т.ч. домашние; некоторые беспроводные точки доступа и другие подобные «гаджеты». Они уязвимы, и, к сожалению, обновить их бывает непросто. Тем более, что, например, роутеры зачастую не получают должного внимания от своих владельцев или IT-персонала, — прошивки им обновляют крайне редко, тем более, что это не всегда простая задача.
Ну, а теперь, обещанные патчи.
- «Окончательные» исправления от Red Hat: https://access.redhat.com/node/1207723, плюс некоторые подробности: https://access.redhat.com/articles/1200223
- Debian: Последняя публикация по теме на данный момент — https://www.debian.org/security/2014/dsa-3035
- Ubuntu: Пояснения — http://www.ubuntu.com/usn/usn-2362-1/ Для ликвидации уязвимости рекомендуется обновить дистрибутивы Ubuntu и Debian через apt-get: sudoapt-getupdate && sudoapt-getinstall –only-upgradebash
- CentOS: http://centosnow.blogspot.com/2014/09/critical-bash-updates-for-centos-5.html (Кратко: обновить с помощью команды yum update)
- SUSE: http://lists.opensuse.org/opensuse-security-announce/2014-09/msg00042.html
- Mandriva: http://packetstormsecurity.com/files/128434/Mandriva-Linux-Security-Advisory-2014-190.html
- Gentoo: https://bugs.gentoo.org/show_bug.cgi?id=523592
Продолжение следует
Советы