r   e   k   l   a   m   a
r   e   k   l   a   m   a

ShellShock: atak wykorzystujący lukę w Bashu zagraża milionom (aktualizacja)

Strona główna AktualnościOPROGRAMOWANIE

Bash jest domyślną powłoką systemową w systemie OS X, a w praktyce także i na Linuksie (trudno znaleźć dystrybucję, która domyślnie stosowałaby powłoki tcsh, zsh czy inne). Skala zagrożenia, z jakim wiąże się właśnie odkryty w tej powłoce błąd, jest bardzo duża, tym bardziej, że z basha w sposób niewidoczny dla użytkownika korzystają liczne inne komponenty systemowe.

Odkrywcą luki, która otrzymała wdzięczną nazwę ShellShock jest francuski haker Stephane Schazelas. Jak poinformował w biuletynie CVE-2014-6271, GNU Bash w wersjach do 4.3 włącznie błędnie przetwarza zmienne środowiskowe przekazane przez system lub program wywołujący skrypt powłoki. Jeśli bash jest domyślną powłoką systemu (a tak jest niemal zawsze), może zostać wykorzystany przez zdalnego napastnika do uruchomienia własnego kodu poprzez wywołania HTTP, połączenia SSH, sesje telnetowe i inne programy, np. takie jak system wydruku CUPS czy klienty DHCP. Bazuje on na mało znanej funkcji, pozwalającej skryptom na eksportowanie definicji funkcji na powłoki potomne. Odpowiednio sformatowane zmienne środowiskowe, zaczynające się od ciągu "() {" zostaną przekazane do parsera przed wywołaniem głównego programu.

Znaczenie zagrożenia w dużym stopniu bierze się stąd, że bash tak naprawdę wcale nie jest tylko lokalną powłoką systemową. Na przykład serwer Apache wykorzystuje basha do wykonywania skryptów CGI, tak więc odpowiednio spreparowane wywołanie HTTP może uruchomić na serwerze obcy kod. Można też przygotować złośliwy serwer DHCP, który będzie łączącym się z nim Makom czy komputerom działającym pod kontrolą Linuksa podawał wykonywalny skrypt. Drogę do ataku otwiera nawet polecenie ForceCommand w OpenSSH, pozwalające na zdalne wykonanie kodu w ograniczonych środowiskach, używanych np. przez niektóre systemy Git czy Subversion.

r   e   k   l   a   m   a

Zespół bezpieczeństwa RedHata podaje, że podatność naszego systemu na zagrożenie możemy sprawdzić poleceniem

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Jeśli otrzymamy w odpowiedzi komunikat vulnerable this is a test, nasz komputer może zostać w ten sposób zaatakowany.

Łatka została przygotowana przez opiekuna basha, a następnie wydana jako aktualizacja RHEL-a, CentOS-a i Fedory, OpenSUSE, Debiana i Ubuntu. Niestety nie rozwiązuje ona samego problemu, a jedynie blokuje pojawiające się efekty uboczne.

Niestety Apple nie przygotowało jeszcze poprawionej wersji basha – wszystkie Maki pracujące pod kontrolą najnowszego OS X 10.9.4 w czasie opublikowania tego newsa były podatne na atak.

W Sieci tymczasem znaleziono już pierwsze gotowe exploity ShellShocka. Jak twierdzi badacz Robert Graham, pierwszy przeprowadzony przez niego skan pod kątem podatności na atak zdołał zidentyfikować tysiące podatnych hostów, tylko na samym porcie 80. Jest ich prawdopodobnie o wiele więcej, gdyż jego skaner w pewnym momencie się zawiesił. Graham poinformował też, że ktoś wykorzystuje obecnie szybki skaner portów masscan, by zidentyfikować podatne maszyny. Najbliższe godziny w Sieci mogą być ciekawe.

Polecamy też Waszej uwadze dwie usługi, pozwalające sprawdzić odporność serwerów czy hostowanych na nich stron internetowych na atak. Strona CCSIR pozwala wysłać specjalnie spreparowany nagłówek, wywołujący reakcję w podatnym serwerze, zaś narzędzie Brandona Pottera sprawdza możliwość zdalnego uruchomienia poleceń wget i curl.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.