13 октября 2014
«ShellShock» - новая опасная уязвимость Unix-систем
Эксперты компании «Positive Technologies» предупреждают о новой уязвимости 0-day – ShellShock (CVE-2014-6271). Ее использование позволяет злоумышленникам проведение сетевых атак на серверы с применением веб-запросов.
Уязвимость присутствует в командной оболочке Bash – командном интерпретаторе, который используется многими серверными компонентами и программами на основе ядра Linux и другими Unix-подобными операционными системами. Уязвимость в Bash была обнаружена специалистами компании Red Hat.
Уязвимость позволяет злоумышленнику дописать произвольные команды в задаваемом значении переменной, которые будет выполнять операционная система. Такой механизм может использоваться в веб-приложениях использующих интерфейс CGI, технологиях онлайн-разработки PHP и Python и использовании панели управления хостингом cPanel.
По негативным последствиям данная уязвимость может быть сопоставима с нашумевшей ошибкой в OpenSSL – HeartBleed. Поэтому эксперты Positive Technologies рекомендуют незамедлительно установить обновление безопасности на все общедоступные серверы GNU/Linux.
Уязвимость представляет потенциальную угрозу для систем удаленного управления серверами и промышленными системами, которые разработаны с широким использованием shell-технологий и редко обновляются. Также могут подвергаться взлому точки доступа, маршрутизаторы, встраиваемые устройства, устройства, связанные «интернетом вещей», принтеры. (Ссылки по теме: ни один принтер не прослужит долго без заправки струйного картриджа)
Атаки могут быть наиболее опасны при подключении к управляемой злоумышленником точке беспроводного доступа в местах массового скопления людей, активно использующих Wi-Fi. Поэтому пользователям смартфонов, планшетов и ноутбуков под управлением Linux и Mac OS X не рекомендуется подключаться к незнакомым точкам беспроводного доступа до установки обновления безопасности.
Выявлять и блокировать атаку ShellShock позволяют встроенные механизмы системы защиты приложений Positive Technologies Application Firewall.
