Необходимость латания систем против уязвимости Shellshock в Bash стала еще более настоятельной после сообщения об эксплойте, опубликованного AusCERT, австралийской компьютерной группой быстрого реагирования.

Сообщение, похоже, отражает аналогичный вывод, опубликованный исследователем, выступающим под псевдонимом Yinette, который обнаружил образец зловреда, указывающий на бота, распространяющегося с помощью эксплойта.

david_jacoby

Другие исследователи, включая Давида Якоби из «Лаборатории Касперского» и Роберта Грэма из Errata Security, также предупредили, что уязвимость Bash может быть и неизбежно будет использована сетевыми червями. Грэм, автор интернет-сканера Masscan, опубликовал ранние результаты поиска уязвимых систем. Пока обнаружено 3000 уязвимых систем по порту 80. По словам Грэма, встроенные веб-сервера и такие сервисы, как DHCP, находятся в реальной опасности.

«Даже мое поверхностное сканирование вернуло 3000 результатов. Эта уязвимость действительно может позволить червям с легкостью проходить брандмауэеры и заразить множество систем», — написал Грэм, добавив, что он намеренно ограничил диапазон сканирования, которое включает команду ping, от уязвимых серверов до его сервера.

«Ключевой вопрос в том, уязвимы ли DHCP-сервисы Mac OS X и iPhone; как только червь проходит через брандмауэр и запускает вредоносный DHCP-сервер, для больших сетей наступает «конец игры», — пишет Грэм.

Эксплойт, о котором сообщил Yinette, в настоящий момент имеет 0% обнаружения на VirusTotal и получил идентификатор CVE-2014-6271. Для большинства дистрибутивов Linux уже появились патчи, но Red Hat успела дополнить свое сообщение предупреждением, что патч неполный и специально созданное окружение все-таки запустит произвольный код. Новый идентификатор, CVE-2014-7169, детально объясняет эту проблему. Red Hat заявила, что эта проблема будет решена в следующем патче.

Bash, сокращение от Bourne again shell, представляет собой встроенную оболочку-процессор командной строки и имеется в большинстве систем Linux, UNIX и Mac OS X. Проблема, порожденная этой уязвимостью, состоит в том, что Bash неявно вызывает самые разные функции, что делает создание всеобъемлющего патча сложной задачей. Изъян позволяет злоумышленнику удаленно записывать вредоносный код в переменную, содержимое которой исполняется при вызове Bash.

«Суперпросто, и все версии Bash содержат эту уязвимость, — рассказал Threatpost Джош Брессерс, менеджер по безопасности продукта Red Hat. — Это крайне серьезно, но нужны очень специфичные условия, когда удаленный пользователь может устанавливать значение этой переменной окружения. К счастью, это редкий случай».

Один из наиболее критичных случаев проявления уязвимости — это, к примеру, использование на сервере Apache скриптов mod_cgi, mod_cgid, если они написаны на Bash. Как пишет Брессерс, уязвимость также можно использовать для обхода ForceCommand в конфигурациях sshd. ForceCommand предназначен для ограничения возможности удаленного запуска кода, но эксплуатация этой уязвимости обходит защиту. Некоторые варианты Git, работающие по SSH, могут быть подвержены этому.

Баг был обнаружен Стефаном Чазеласом из Akamai, и его уже сравнивают с уязвимостью Heartbleed в OpenSSL. Как и Heartbleed, опасность не в уязвимых веб-серверах, которые можно легко обнаружить и пропатчить, а в большом числе уязвимых встроенных систем и устройств, доступных через Интернет.

«В отличие от Heartbleed, которая имеется в определенных версиях OpenSSL, эта уязвимость присутствовала очень долгое время, — написал Грэм. — Это значит, что уязвимость содержит множество старых устройств в сетях. Много систем нужно пропатчить, но еще больше пропатчено не будет, причем гораздо больше, чем систем с Heartbleed».

Категории: Главное, Уязвимости