1 октября 2014

BashBug по прошествии нескольких дней

Бизнес

Несколько дней прошло с того момента, как выяснилось, что все или почти все *Nix-системы подвержены серьёзной уязвимости в командной оболочке Bash. Поначалу было много споров о том, можно ли это считать новым Heartbleed, и по прошествии нескольких дней складывается впечатление, что да, это именно что Heartbleed 2.0. А то и посерьёзнее будет.

Как говорится в материале Securelist, «Эксплуатировать эту уязвимость киберпреступникам намного проще, чем Heartbleed. К тому же, в случае с Heartbleed, преступник мог только вытягивать данные из памяти, надеясь отыскать что-либо интересное. В свою очередь, уязвимость в Bash может обеспечить атакующим полный контроль над системой. Поэтому он выглядит намного более опасным.»

Простота эксплуатирования обеспечила избыточное количество концептов и рабочих эксплойтов. Почти сразу появилась информация об ограниченном количестве направленных атак. И хотя пока реальный ущерб оценить довольно сложно, спустя несколько часов после публикации сведений об этой уязвимости, стало известно, что кто-то уже начал массовое сканирование и распространение вредоносного ПО по уязвимым серверам.

Роберт Грэм из Errata Security, заявил, что уязвимость можно эксплуатировать для создания червя, и такой червь не замедлил появиться, да ещё с нахальной благодарностью Грэму в коде.

По всей видимости, некоторая доля успеха у этих усилий уже имеется: итальянская фирма, специализирующаяся на вопросах информационной безопасности, обнаружила, что с помощью ShellShock/BashBug активно строится ботнет под кодовым названием wopbot, работающий на базе серверов под Linux. Ботнет продолжает расширяться, автоматически заражая новые серверы.

Кроме того, с этого же ботнета осуществляются DDoS-атака на серверы Akamai, а также сканирование IP-адресов минообороны США, по-видимому, в порядке подготовки к брутфорсу.

К счастью, довольно быстро удалось выявить и закрыть командный сервер этого ботнета — он находился в Великобритании. Однако «раздающий» сервер с физическим расположением в США, работал и после этого.

Пока неясно, сколько серверов wopbot успел подмять под себя, но в теории это могут быть миллионы серверов под Apache, использующих CGI-скрипты.

К сожалению, скриптами дело не ограничивается.

wide

Худшая проблема — та, которую невозможно исправить. В случае с Bashbug/Shellshock — это многочисленные устройства «интернета вещей», которым невозможно обновить прошивку. Некоторые используют Bash, и потому уязвимы, а значит, могут использоваться для атак.

Есть также проблема с другими сетевыми устройствами, использующими CGI-скрипты: например, роутеры, в т.ч. домашние; некоторые беспроводные точки доступа и другие подобные «гаджеты». Они уязвимы, и, к сожалению, обновить их бывает непросто. Тем более, что, например, роутеры зачастую не получают должного внимания от своих владельцев или IT-персонала, — прошивки им обновляют крайне редко, тем более, что это не всегда простая задача.

Ну, а теперь, обещанные патчи.

Продолжение следует