По утверждению экспертов центра глобальных исследований и анализа (Global Research and Analysis Team, GReAT) «Лаборатории Касперского», недавно обнаруженная уязвимость Shellshock несет в себе большую угрозу, чем знаменитая Heartbleed.

Вчера «Лаборатория Касперского» опубликовала анализ первых случаев эксплуатации уязвимости CVE-2014-6271 (Shellshock) на сайте securelist.ru. Эксперт Стефан Ортлоф пишет в анализе: «Попытки получения контроля над веб-серверами, наблюдаемые нами в последнее время, выглядят следующим образом: создается новый экземпляр оболочки Bash, а с него делается перенаправление на удаленный сервер, который ожидает соединение через определенный TCP-порт. Такая схема известна как обратное соединение».

В анализе разобран код бэкдора, устанавливаемого на Linux-системы с помощью Shellshock посредством сформированного HTTP-запроса. «В коде бэкдора содержатся два жестко заданных IP-адреса, — пишет Стефан Ортлоф. — Один из них используется только для того, чтобы сообщать киберпреступникам о новых успешных заражениях. По второму IP-адресу расположен командный сервер, к которому обращается зловред, действующий на зараженном веб-сервере».

Эксперт приводит список команд, исполняемых бэкдором:
!* PING — Посылает в ответ «PONG!»
!* SH — Выполнение произвольной shell-команды
!* GETLOCALIP — Посылает в ответ «My IP: $ipaddr»
!* SCANNER ON | OFF — Сканирует случайные сетевые диапазоны, выполняет атаку перебором по небольшому словарю (см. описание выше), проверяет мишень на признаки ловушки
!* HOLD — Приостановка флуда
!* JUNK — Флуд мусорным трафиком
!* UDP — UDP-флуд
!* TCP — TCP-флуд
!* KILLATTK — Полная остановка флуда
!* LOLNOGTFO — Завершение работы бэкдора.

В тот же день центр глобальных исследований и анализа (Global Research and Analysis Team, GReAT) «Лаборатории Касперского» опубликовал список вопросов и ответов об уязвимости Shellshock. По сведениям экспертов, уязвимость уже была использована киберпреступниками: уязвимые веб-серверы заражались вредоносным ПО, а также проводились хакерские атаки. «Аналитики «Лаборатории Касперского» постоянно обнаруживают новые вредоносные образцы и случаи заражения с использованием данной уязвимости», — написано в сообщении.

Эксперты GReAT предупреждают, что Shellshock очень легко эксплуатировать, «что приводит к крайне тяжелым последствиям — не в последнюю очередь из-за количества уязвимых мишеней». При этом уязвимыми могут оказаться даже те системы, которые не используют Bash напрямую, так как многие приложения вызывают Bash в ходе работы. Как написано в сообщении, «в данный момент аналитики выясняют, затронуты ли в связи с этой уязвимостью другие интерпретаторы — PHP, JSP, Python и Perl. В зависимости от того, как написан код, интерпретатор в некоторых случаях может использовать Bash для выполнения ряда функций. В связи с этим эксплуатация уязвимости CVE-2014-6271 может быть осуществлена через другие интерпретаторы».

Также внушают тревогу сведения о том, что закрыть уязвимость может быть не так-то просто. «Одной из самых больших проблем сейчас является то, что после публикации патчей исследователи начинают искать другие способы эксплуатации среды Bash, анализировать различные условия, делающие эксплуатацию возможной, и т.п., — пишет GReAT. — В связи с этим патч, защищающий от удаленного выполнения кода, никак не сможет предотвратить, например, перезапись файла. По всей видимости, впоследствии будет опубликован целый ряд патчей, а до тех пор системы будут оставаться уязвимыми».

«По сравнению с Heartbleed эту уязвимость гораздо легче эксплуатировать. Кроме того, в случае Heartbleed киберпреступник мог только похитить данные из памяти в надежде на то, что среди них встретится что-нибудь стоящее, в то время как уязвимость Bash делает возможным полный контроль над системой. Таким образом, она представляется намного более опасной, чем Heartbleed», — заключают эксперты «Лаборатории Касперского».

Категории: Вредоносные программы, Главное, Уязвимости