Koti Securitywatch Vakava bash-virhe antaa hyökkääjien kaapata linux- ja mac-tietokoneita

Vakava bash-virhe antaa hyökkääjien kaapata linux- ja mac-tietokoneita

Video: Apple M1 Mac Review: Time to Recalibrate! (Marraskuu 2024)

Video: Apple M1 Mac Review: Time to Recalibrate! (Marraskuu 2024)
Anonim

Bashista löydetty virhe, laajalti käytetty komentatulkki, aiheuttaa kriittisen tietoturvariskin Unix- ja Linux-järjestelmille, tietoturva-asiantuntijat kertoivat. Ja et saa houkutusta hylätä ongelma pelkkänä palvelinkysymyksenä, muista, että Mac OS X käyttää Bashia. Monet asiantuntijat varoittavat, että se voi olla huonompi kuin Heartbleed.

Haavoittuvuus esiintyy useimmissa Bash-versioissa, versioista 1.13–4.3, Akamaiin Unix- ja Linux-verkon ja tietoliikenteen järjestelmänvalvojan Stephane Chazelasin mukaan ensimmäisen kerran paljastaneen virheen. Kotimaan turvallisuusministeriön atk-hätätiimiryhmä (CERT) varoitti hälytyksessä, että jos haavoittuvuus hyödynnetään, se voi antaa etä hakkereille mahdollisuuden suorittaa haitallisia koodeja kyseisessä järjestelmässä. NIST-haavoittuvuustietokanta on arvioinut virheen 10: llä kymmenestä vakavuuden suhteen.

"Tämä haavoittuvuus on mahdollisesti erittäin iso juttu", kertoi Rapid7: n suunnittelujohtaja Tod Beardsley.

Haavoittuvuus liittyy siihen, kuinka Bash käsittelee ympäristömuuttujia. Kun määritetään funktio muuttujalle, myös kaikki määritelmän ylimääräiset koodit suoritetaan. Joten kaikki hyökkääjän on tehtävä jotenkin liittää joukko komentoja määritelmään - klassinen koodisyöttöhyökkäys - ja he voivat kaapata kauko-ohjauksen kohteena olevan koneen. Chazelat ja muut virhettä tarkastellut tutkijat ovat vahvistaneet, että se on helppo käyttää hyväksi, jos koodi syötetään ympäristömuuttujiin, kuten ForceSSmand-ominaisuus OpenSSH sshd: ssä, mod_cgi- ja mod_cgid-moduulit Apache HTTP Server -palvelussa tai skriptit, jotka asettavat ympäristö DHCP-asiakkaille.

"Suuri joukko Linuxin ja muiden UNIX-järjestelmien ohjelmia käyttää Bashia ympäristömuuttujien asettamiseen, joita käytetään sitten muiden ohjelmien suorittamisessa", Cloud Security Alliancen päällikkö Jim Reavis kirjoitti blogipostissaan.

Väistämätön sydämen vertaaminen

Mieti tätä haavoittuvuutta koskevaa kahta asiaa: Linux / Unix-palvelimia käytetään laajalti tietokeskuksissa ympäri maailmaa ja monissa laitteissa upotettuina; haavoittuvuus on ollut olemassa jo vuosia. Koska Bash on niin laajalle levinnyt, vertailu Heartbleediin, huhtikuussa paljastunut OpenSSH: n haavoittuvuus on väistämätöntä. Robert Graham, Errata Security, on jo puhunut virheestä ShellShock.

Mutta onko se sydämen syke 2? Se on vähän vaikea kertoa. Se on ehdottomasti vakava asia, koska se antaa hyökkääjille pääsyn komentokuoreen, joka on kultainen lippu voidakseen tehdä mitä he haluavat koneella.

Ajattellaan kokoa. Apache-verkkopalvelimet tuottavat valtavan osan verkkosivustoista maailmassa. Kuten Heartbleedin aikana opimme, on olemassa paljon muita kuin Linux / Unix-koneita, jotka käyttävät OpenSSH: ta ja Telnetiä. Ja DHCP on tärkeä tekijä, jonka avulla meille on helppo hypätä verkkoihin ja niistä pois. Tämä tarkoittaa, että tietokoneiden ja palvelimien lisäksi on mahdollista, että myös muut sulautetut järjestelmät, kuten reitittimet, ovat alttiita kaappauksille. Errata Securityn Graham - joka on tehnyt tähän mennessä perusteellisimman virheen analyysin - suoritti joitain skannauksia ja löysi helposti muutama tuhat haavoittuvaa palvelinta, mutta tällä hetkellä on vähän vaikea arvioida ongelman laajuutta.

Heartbleed-virhe oli kuitenkin olemassa vain asentamalla haavoittuva OpenSSL-versio. Tämä vika ei ole yhtä suoraviivainen.

"Se ei ole niin yksinkertaista kuin" ajaa Bashia ", " Beardsley sanoi. Jotta kone olisi alttiina hyökkäyksille, on oltava sovellus (kuten Apache), joka ottaa käyttäjän syöttämät tiedot (kuten User-Agent-otsikko) ja asettaa sen ympäristömuuttujaan (mitä CGI-skriptit tekevät), hän sanoi. Hän sanoi, että nykyaikaisiin verkkokehyksiin ei yleensä vaikuteta.

Tästä syystä Graham sanoi, kun ShellShock on yhtä vakava kuin sydämen vajaatoiminta, "tämän virheen kiirettä ja korjaamista ei tarvitse juurikaan tehdä. Ensisijaiset palvelimet eivät todennäköisesti ole alttiita tälle virheelle."

Mutta ennen kuin ryhdymme reitittimiin ja sulautettuihin laitteisiin (ja esineiden internetiin), muista, että kaikki järjestelmät eivät käytä Bashia. Ubuntu ja muut Debianista johdetut järjestelmät voivat käyttää erilaista komentotulkkaa, nimeltään Dash. Sulautetut laitteet käyttävät usein yhtä nimeltään BusyBox, joka ei ole haavoittuvainen, Kaspersky Labin vanhempi tutkija Roel Schouwenberg kertoi Twitterissä.

Haavoittuva vai ei?

Voit tarkistaa, oletko haavoittuvainen, suorittamalla seuraavat komennot (CSA: n toimittama koodi). Avaa pääteikkuna ja kirjoita seuraava komento $ -kehotteeseen:

env x = '() {:;}; echo haavoittuva 'bash -c "echo this is test"

Jos olet haavoittuvainen, se tulostaa:

haavoittuva

Tämä on testi

Jos olet päivittänyt Bashin, näet vain:

Tämä on testi

Yleensä sanoisin, että mene eteenpäin ja laastari heti, mutta käy ilmi, että saatavilla olevat laastarit eivät ole täydellisiä. Red Hat kertoi tänä aamuna, että on vielä tapoja pistää komentoja ympäristömuuttujien kautta jopa Bashin korjaamisen jälkeen. Jos sinulla on vain kourallinen koneita, voi olla syytä mennä eteenpäin ja kiinnittää saatavilla olevat laastarit, mutta jos sinulla on tuhansia koneita korjaamaan, ehkä kannattaa odottaa muutama tunti. Kaikki upstream-Linux-jakelu (ja toivottavasti Apple!) Työskentelevät korjauksen parissa parhaillaan.

"Muista, että vaikka et ole koskaan ennen kuullut Bashista tai et aja sitä, tietokoneellasi saattaa olla käynnissä ohjelmisto, joka kutee Bash-prosessit", sanoi riippumaton tietoturvakonsultti Graham Cluley.

Vakava bash-virhe antaa hyökkääjien kaapata linux- ja mac-tietokoneita