Оуэн Гарретт: «Воспользоваться обнаруженной уязвимостью очень просто, если вы хорошо понимаете, что делаете». Источник: Nginx |
И теперь дистрибьюторы Linux, поставщики облачных сервисов и пользователи пытаются оценить масштабы потенциального ущерба, который может быть вызван этой уязвимостью.
«Речь идет об очень тонком и сложном решении, – отметил Оуэн Гарретт, отвечающий за продукты в компании — разработчике серверного программного обеспечения Nginx. – Воспользоваться обнаруженной уязвимостью очень просто, если вы хорошо понимаете, что делаете, поэтому перед нами вырисовывается действительно очень серьезная потенциальная проблема. Утешает лишь то, что лекарство тоже было найдено достаточно быстро».
Уязвимость присутствует в оболочке GNU Bash, которая входит в состав почти всех дистрибутивов Linux, а также операционной системы Apple OS X.
Уже появились сообщения об обнаружении в Bash второй уязвимости, связанной с первой.
Оболочка представляет собой интерфейс, предназначенный для организации взаимодействия пользователей с компьютером. Он может быть реализован в виде графической среды или, как в случае с Bash, в виде текстового интерфейса командной строки. Обнаруженная уязвимость позволяет злоумышленнику подавать операционной системе произвольные команды.
«На первый взгляд уязвимость кажется не слишком серьезной, – заметил Вольфганг Кандек, технический директор компании Qualys, занимающейся вопросами информационной безопасности. – Ведь пользователь, имеющий доступ к Bash, и так может вводить любые команды, поддерживаемые операционной системой. Но дело в том, что Bash используется многочисленными программами, которые с помощью оболочки решают свои собственные задачи, а это уже открывает лазейку для проникновения в систему извне. Уязвимость такого рода может быть использована при обращениях к общему шлюзовому интерфейсу CGI (Common Gateway Interface) – устаревшей, но еще довольно популярной технологии, которая в период зарождения коммерческого Интернета обеспечивала взаимодействие пользователей с сайтами. CGI осуществляет взаимодействие с серверной ОС именно с помощью Bash».
У злоумышленника появляется возможность вставлять свои команды в запрос CGI, который затем будет обработан сервером. С помощью Shellshock атакующий может воспользоваться преимуществами других уязвимостей, к которым нет доступа по сети. Таким образом, у него появляется шанс получить полный контроль над машиной.
Устанавливать обновления системы безопасности администраторы стараются максимально оперативно. Как правило, в этом нет ничего сложного. В большинстве дистрибутивов Linux обновление системного программного обеспечения выполняется одной командой.
Все крупнейшие поставщики Linux, включая Debian, Ubuntu, Suse и Red Hat, уже выпустили соответствующее обновление.
Red Hat предлагает также специальную команду, позволяющую легко проверить, уязвима ли машина для атак.
С учетом того что после появления новостей об обнаружении уязвимости число использующих ее программ стало расти стремительными темпами, здесь дорога каждая секунда.
Развернув специальный сервер-ловушку, специалисты компании AlienVault обнаружили, что уже очень многие сканируют Интернет в поисках машин, имеющих уязвимость такого рода.
Серверы-ловушки с программным обеспечением, которое не обновлялось должным образом, размещаются в Интернете с целью сбора информации об активности злоумышленников, пытающихся получить доступ к чужим компьютерам.
У поставщиков облачных инфраструктурных сервисов, которые зачастую предлагают дистрибутивы Linux в качестве виртуальных образов, также могут встречаться уязвимые версии Bash. Многие уже успели устранить риски такого рода. Например, инфраструктура Amazon Web Services, поддерживающая собственную версию Linux, автоматически устанавливает самые последние обновления на все виртуальные машины Linux еще до того, как они будут развернуты.
«Стоит отметить, что общая практика соблюдения мер безопасности предполагает обновление программного обеспечения виртуальной машины сразу после того, как она впервые была развернута», – подчеркнул Кандек.