В то время как основные опасения вокруг уязвимости в Bash касаются веб-серверов, встроенные системы и АСУ (автоматизированные системы управления) также находятся под угрозой.

Эксперты выражают опасения насчет защищенности АСУ на основе Linux- и SCADA-устройств (от англ. supervisory control and data acquisition — «диспетчерское управление и сбор данных»), которые могут быть уязвимы и которые не так легко пропатчить.

«Некоторые устройства просто не предназначены для модернизации. Сейчас производится множество АСУ-оборудования, которое не имеет механизма обновления микропрограмм, — сказал К. Рейд Уайтман, директор Digital Bond Labs. — Некоторые устройства уже не поддерживаются, и производители могут не выпустить патчи. АСУ- и SCADA-оборудование предназначено для работы в течение 10 и более лет до того, как его понадобится обновлять. Многие производители прекращают выпуск обновлений еще до окончания 10-летнего цикла».

В некоторых случаях установка патча затрудняется из-за необходимости выключения системы, что может быть неприемлемо в определенных условиях.

«Выключение — огромная проблема, — заметил Уайтман. — Эти системы могут быть пропатчены лишь во время периода обслуживания АСУ. Это может быть один раз в год (или даже еще реже), в зависимости от системы».

Эти трудности усугубляют и без того непростые обстоятельства вокруг обнаруженного бага. Уязвимость в Bash была обнаружена Стефаном Чазеласом из Akamai, и производители дистрибутивов Linux немедленно начали работу по распространению патчей для ограничения эффекта бага, который может позволить злоумышленнику удаленно записать исполняемый код в переменную окружения, запускаемую после вызова Bash. Новые сообщения о том, что первые патчи не решают проблему полностью, сочетаются с равно беспокоящими сообщениями о том, что найдены эксплойты, которые могут привести к проникновению червя или появлению DDoS-ботнетов.

Притом что серверы Apache используют скрипты CGI или некоторые установки Git, работающие поверх SSH, оболочка Bash, по словам Уайтмана, широко распространена в АСУ- и SCADA-устройствах, а также во встроенном оборудовании.

«Множество промышленных компонентов работают под управлением Linux и используют Bash в уязвимой конфигурации, — заявил Уайтман. — Промышленные сетевые коммутаторы или даже некоторые программируемые логические контроллеры (PLC) и модули удаленных терминалов (RTU) могут быть подвержены уязвимости».

Уайтман привел несколько примеров, в том числе линейку управляемых коммутаторов RuggedCom, линейку управляемых коммутаторов EtherTrak, PLC Wago и RTU Schweitzer Engineering, которые работают под Linux.

«Список потенциально уязвимых устройств, использующихся в АСУ и SCADA, очень велик», — сказал он.

Хотя большая часть АСУ- и SCADA-оборудования не должна быть подключена к Интернету, что ограничивает эффект уязвимости в Bash, эксперты предупреждают, что это далеко не всегда так.

«Уязвимость идентична в IT/OT, однако непропорционально больше число «простых» встроенных устройств используют CGI + Bash по сравнению с более современными веб-платформами, — заявил Адам Крейн, исследователь-безопасник и основатель компании Automatak. — Bash является самой часто используемой оболочкой в Linux-системах. Большая доля встроенных устройств в АСУ и SCADA работают под Linux. Не все из этих систем уязвимы, потому что не все из них содержат сервисы, которые можно использовать для эксплуатации уязвимости в Bash».

Важно, чтобы инженеры исследовали свое оборудование для определения того, какие компоненты могут использовать Bash, и тут далеко не все очевидно.

«Пока конечный пользователь не потратит время на обратный инжиниринг своего промышленного оборудования, он не сможет достоверно узнать, можно ли вызвать Bash в его системе и как это сделать, — сказал Уайтман. — Мы даже встречали оборудование, которое работает под GNU/Linux и Bash, но его производители не сообщили об этом своим клиентам (что на самом деле является обязательным, раз они используют ПО под лицензией GNU)».

Категории: Главное, Уязвимости