Shellshock уязвимость bashbug

Shellshock называют более масштабным, чем Heartbleed, на первый взгляд это выглядит ужасно, но так ли это на самом деле? Прочтите оставшуюся часть этой статьи, чтобы узнать, влияет ли это на вас и вашу организацию.

Что такое уязвимость Shellshock?

Уязвимость Shellshock выявляет недостаток в оболочке Unix Bash. Это оставляет операционные системы на основе Unix, такие как Linux, OSX или Bash, содержащие такие системы, как некоторые маршрутизаторы, Apache, веб-сайты CGI, брандмауэры, веб-серверы (видеонаблюдение, принтеры и другие периферийные устройства) и многие другие операционные системы, основанные на Unix. команды глубокого уровня после эксплуатации уязвимости.

В настоящее время подсчитано, что на Apache работает более миллиарда веб-сайтов. Большинство из них установлены в операционной системе Linux. Можно предположить, что затронуто более двух миллиардов устройств.

Более официальные подробности на веб-сайте NIST можно найти здесь.

Эта уязвимость имеет оценку влияния 10/10, что означает, что вы должны обратить на это внимание как можно скорее. NIST говорит, что это настолько плохо, насколько это возможно … Если вы можете представить, что это затронет более миллиарда устройств, и, вероятно, потребуется больше года, чтобы исправить все с помощью всех, и в действительности только 80% когда-нибудь исправят, это серьезная уязвимость.

В конечном итоге эта уязвимость может привести к тому, что злоумышленник получит оболочку на уязвимой системе, это святой Грааль уязвимостей, так что да, это большая проблема. Я не могу вспомнить за свои 15+ лет в компьютерной безопасности, когда что-то такое большое было обнаружено.

С помощью этой уязвимости также можно выгрузить внутренние файлы и файлы, содержащие пароли, и даже данные кредитной карты для публичного извлечения. Вариантов довольно много, и у плохих парней начинается полевой день.

Кроме того, если эта уязвимость эксплуатируется через CGI, который основан на некоторых веб-сайтах, то аутентификация не требуется, что делает ее еще более серьезной проблемой. Я настоятельно рекомендую вам исправить это как можно скорее.

Как я узнаю, что я уязвим?

Откройте оболочку командной строки или Bash, а затем выполните следующую команду:

Если система отвечает:

Ваше устройство уязвимо.

Если система выдает это сообщение:

Ваша система не уязвима, и вы можете перейти на следующую систему.

Вы также можете загрузить инструменты для сканирования на наличие уязвимостей, вы можете выбрать для этой цели своего любимого антивирусного поставщика, просто введя в поисковой системе средство сканирования shellshock, вы получите несколько инструментов, предложенных на первой странице.

Не оставляйте камня на камне, даже некоторые камеры видеонаблюдения и некоторые принтеры уязвимы для Shellshock, так что будьте внимательны.

Вы можете исправить это самостоятельно, если хотите, и у Apple есть ремонт своими руками, если вы смелы и усердны.

Что уже произошло… (сентябрь 2014 г.)

Уязвимость уже эксплуатируется, и были написаны инструменты, позволяющие злоумышленникам «завладеть», захватить как можно больше машин, прежде чем все они будут исправлены. Это окно даст им возможность заразить потенциально миллионы машин, и в подполье кипит болтовня о том, как команды плохих парней собираются и уже делают это.

Промышленность уже начала давать отпор многочисленным дистрибутивам Unix и Linux, выпускающим исправления. Теперь задача состоит в том, чтобы установить их после тестирования в корпоративной среде и пройти контроль изменений.

Уязвимость является «червячной», что означает, что червь может быть создан, чтобы воспользоваться этой уязвимостью, и червь не требует взаимодействия с пользователем, а это означает, что миллионы машин могут быть взломаны удаленно за несколько часов. Во многих случаях на этих машинах не установлено вредоносное ПО, червь или защитное программное обеспечение достаточного уровня, которые могут обнаруживать или сообщать о заражении, поэтому обнаружить заражение особенно сложно.

Как это повлияет на мою организацию?

Эта уязвимость может иметь разные обличья и повлияет на множество технологий, основанных на Bash, включая некоторые установки CGI и Apache. Беспокойство заключается в том, что теперь это может повлиять даже на то, что составляет Интернет вещей IoT. Это может означать, что это группа устройств, с которыми мы обычно не взаимодействуем и которые не можем легко обновить, поскольку они могут иметь встроенные операционные системы, которые не так просто обновить.

Например, есть группа личных и корпоративных камер видеонаблюдения, которые теперь можно использовать удаленно, чтобы злоумышленники могли удаленно контролировать устройства и шпионить как за отдельными лицами, так и за корпорациями, если они подключены к Интернету, и потому что эти устройства продаются как удаленный мониторинг технологий это очень вероятно.

Некоторые из моих клиентов звонили и спрашивали, будут ли они затронуты, я использую только технологии Microsoft. Если вы копнете немного глубже, вы обнаружите, что почти никто не использует только Microsoft, существует множество приложений и устройств, которые полагаются на другие технологии, которые могут быть уязвимы. В ходе недавнего сканирования мы обнаружили, что клиент, утверждающий, что его сеть принадлежит только Microsoft, на самом деле имеет около 60% элементов, не принадлежащих Microsoft, и 40% из них могут быть уязвимы для проблем, связанных с этой уязвимостью.

Мы обнаружили, что у брандмауэра, того самого, что «защищает» клиента, есть проблема, которую потенциально можно использовать.

Помните «священную корову» компьютерного мира Apple Mac? Компьютеры OSX в настоящее время уязвимы, поскольку Apple лихорадочно разрабатывает обновления и исправления для смягчения последствий Shellshock по всему миру. Сейчас самое время приступить к разработке стратегии безопасности для этих машин, чтобы они были защищены. Если вам удобно перекомпилировать Bash, теперь есть способы исправить это вручную.

Что я могу сделать, чтобы остановить или ограничить ущерб?

Существует множество способов защиты от эксплуатации уязвимости Shellshock.

Передовые методы обеспечения безопасности помогут смягчить последствия такой уязвимости, следующие стратегии помогут защититься от угроз такого типа.

• Держите свои системы обновленными до самого последнего уровня исправлений
• Убедитесь, что у вас есть актуальная лента уязвимостей, такая как VIM от Secunia.
• Сегментируйте свои сети таким образом, чтобы службы и конечные точки были полностью отделены друг от друга, чтобы гарантировать, что внешние компьютеры изолированы и полностью изолированы от всех внутренних систем. Сетевое зонирование и надлежащее разделение гарантируют, что в случае взлома устройства или хоста распространение будет ограничено изолированной сетевой зоной и не сможет проникнуть в другие зоны.
• Удалите программное обеспечение, которое вы не используете, это уменьшит область атаки и, в свою очередь, снизит риск вашей безопасности. Вам также нужно будет поддерживать только программное обеспечение, которое установлено на машинах.
• Используйте или предпочитайте программное обеспечение с возможностью автоматического обновления, в большинстве случаев поставщики ищут уязвимости, и в наши дни исправления выпускаются с разумной периодичностью обновления. Автоматическое обновление не только уведомляет вас о наличии исправления, но также устанавливает последнюю рабочую версию программного обеспечения и имеет встроенную регрессию на случай, если обновление не работает.
• Продолжайте исправлять и определять, какие системы уязвимы, если системы критичны для вас или вашей организации и вам нужно держать уязвимую систему подключенной, ограничьте взаимодействие с уязвимым модулем, либо отключив его, либо заблокировав доступ к нему.
• Имейте мощную программу управления исправлениями, на рынке есть много технологий, которые сообщают вам, когда исправление доступно, используйте их, чтобы предупредить вас, как только соответствующее исправление будет выпущено.
• Работайте быстро, в случае с уязвимостью Shellshock мой лучший совет заключается в том, что это то, что необходимо решить, как только появится исправление, игнорирование этой проблемы оставит вас или вашу организацию незащищенной, поэтому жизненно важно, чтобы эта уязвимость была правильно и хотя грубо решен.
• Будьте особенно осторожны с так называемыми «фиксами». Это именно то, чего ждали плохие парни, будет много ложной прибыли с исправлениями, которые создают бэкдоры в ваших системах, поэтому убедитесь, что вы получаете исправление из надежного источника.
• Зашифруйте самые важные файлы, если вы не можете исправить их немедленно.

Можно ли вместе избежать этой угрозы?

Короткий ответ: только если вы не используете уязвимые системы и программное обеспечение, но реально большинство крупных корпоративных сетей будут иметь некоторые из упомянутых уязвимых систем. В большинстве случаев короткий ответ — нет, этого не будет, и этого нельзя избежать.

Вывод

Безопасность — это постоянно развивающаяся область, как и ландшафт угроз, как мы видели за последние шесть месяцев, были некоторые уязвимости блокбастера, которые сбили с ног некоторые компании и, кроме того, вызвали уязвимость для многих организаций.

Выделенная группа безопасности, которая бдительна и способна справиться с такими проблемами, является более важным требованием, чем когда-либо прежде. Когда происходят события такого типа, они требуют немедленных действий. Продолжайте исправлять, чтобы быть в безопасности. Если вы не знаете, что делать, обратитесь к специалисту, который поможет вам решить эту проблему. Эта проблема ускользала от всего мира незамеченной в течение многих лет, и она не будет решена в одночасье, вам нужно начинать решать прямо сейчас, потому что скоро будет подавляющее множество эксплойтов, и вы должны быть готовы защищать свои системы.