{ "author_name": "Stepan Ilyin", "author_type": "self", "tags": ["\u043a\u043e\u043b\u043e\u043d\u043a\u0430","\u0445\u0430\u043a\u0435\u0440\u044b","heartbleed","\u0441\u0442\u0435\u043f\u0430\u043d_\u0438\u043b\u044c\u0438\u043d","shellshock"], "comments": 27, "likes": 18, "favorites": 0, "is_advertisement": false, "section_name": "default", "id": "5145", "is_wide": "1" }
Stepan Ilyin
9 109

5 плохих новостей про уязвимость Shellshock от бывшего главреда журнала «Хакер» Степана Ильина

Директор по продуктам компании Wallarm и экс-главный редактор журнала «Хакер» Степан Ильин попытался разобраться в ситуации с недавно открытым багом в командной оболочке Bash, который уже успели окрестить «новым Heartbleed».

Пока все постят фоточки из очереди за XBox или iPhone, у нас тут случился настоящий «крякер интернета».

Возможно, краем уха вы уже слышали про какой-то баг в командной оболочке Bash (он же Shellshock, хотя мне больше по душе BashDoor). Если вкратце, то эта уязвимость позволяет удаленно выполнять произвольные команды. В ваших Mac’ах, серверах, домашних роутерах и даже Wi-Fi камерах с веб-интерфейсом. Не всегда, конечно, и с некоторыми оговорками — но очень часто. И это не единственная плохая новость. Вообще-то, их пять.

1. Работающего патча до сих пор нет

Представь масштаб бедствия: Bash используется практически во всех Linux, BSD и OS X — а нормального патча не существует. История забавна тем, что заплатка уже выходила, но проблему не вылечила. Похоже, единственный способ починить Bash прямо сейчас — это вручную отключить функцию import в сорцах и все это хозяйство пересобрать, но это вариант для совсем смелых. По ссылке лучше даже не ходить.

2. Даже когда будет патч, икаться ShellShock нам будет еще очень долго

Роутеры, веб-камеры, NAS’ы и новомодные Internet of Things — уязвимая версия Bash еще годы будет оставаться в куче устройств. Нужно ли рассказывать, как часто они обновляются (без механизма-то автообновления) и для скольких из них вообще не будет никаких новых прошивок? Очередные истории про майнинг биткоинов на тысячах зараженных NAS’ах — в ближайшем будущем.

3. Эксплуатировать эту уязвимость настолько просто, что становится страшно (скрипты и тулзы в изобилии представлены на GitHub)

Сложно представить, сколько людей сейчас сканирует все IP подряд в поиске уязвимых сервисов, следуя примеру Роберта Грахама. Этот-то лишь посчитал, на скольких из проверенных серверов выполнится команда ping на его хост — повторять такую безобидную штуку уже неинтересно. Уже сейчас есть подтвержденные примеры, что ShellShock использует малварь и лавинообразно заражает серверы.

4. Используете Git/Subversion? Прекрасно, они тоже уязвимы (по крайней мере, в том случае, когда настроены с поддержкой SSH)

Фактически, любой пользователь системы контроля версий и так имеет доступ к ОС, но без прав на выполнение команд. ShellShock же позволяет обойти это ограничение и получить шелл (возможность выполнять команды). Единственная хорошая новость в том, что многие ОС для пользователя git по умолчанию используют не bash, а безопасный dash (например, Debian).

Напоследок мое любимое — чтобы не расслабились, думая что ShellShock вас не касается. 

5. Уязвимость может быть проэкплуатирована через протокол DHCP — тот самый, что используется для раздачи IP-адресов. 

Только представь. Коннектишься себе к Wi-Fi сети — и вместе с IP-шником бонусом получаешь еще боевую нагрузку — троян. Самый эпичный вектор (а вот демонстрация), не иначе. Виндузятники будут припоминать тебе это еще долго.

P. S. Самой главной наживой сейчас являются веб-приложения, использующие CGI-скрипты (через mod_cgi и mod_cgid), их много — и их очень хорошо сейчас находят. Проверить, не уязвим ли сервис, легко — вот здесь. А как от этого защититься? Подключить WAF (Web Application Firewall), который будет отбивать атаки, спрятать/изолировать уязвимый сервер, брутально отключить часть приложения, реализованную через CGI. И молиться, что сегодня патч все-таки выйдет.

#Колонка #хакеры #heartbleed #Степан_Ильин #ShellShock

Статьи по теме
Гиганты индустрии инвестируют в безопасность OpenSSL после обнаружения уязвимости Heartbleed
{ "is_needs_advanced_access": false }

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Голосовой помощник выкупил
компанию-создателя
Подписаться на push-уведомления
[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-158433683", "adfox_url": "//ads.adfox.ru/228129/getCode?p1=bxbwd&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid21=&puid22=&puid31=&fmt=1&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } } ]