Уязвимость ShellShock – опасность для множества устройств
Специалисты по информационной безопасности сообщили о новой уязвимости ShellShock, которая позволяет злоумышленникам выполнять произвольный код. Уязвимость затронула не только интернет-серверы и рабочие станции, но и повседневно используемые гаджеты – смартфоны и планшеты, маршрутизаторы (в том числе домашние роутеры), ноутбуки на базе OS X и Linux.
Критические ошибки были обнаружены в командной оболочке Bash, одном из фундаментальных компонентов Linux-систем, которая повсеместно используется в Linux/BSD для управления ОС. Используя эту уязвимость удаленно, хакеры могут взламывать Web-приложения, использующие интерфейс CGI, и выполнять на уязвимой системе произвольные команды. В некоторых случаях атака может проводиться через протоколы SSH (используется для удаленного управления) и DHCP (применяется для раздачи клиентам IP-адресов). Эксперты уже фиксируют распределенные сканирования различных сегментов Интернета, выполняемые злоумышленниками и направленные на поиск уязвимых серверов и заражение их вредоносным ПО.
По негативным последствиям эта уязвимость может быть сопоставима с известной ошибкой в OpenSSL – HeartBleed. В зону риска попадают системы удаленного управления серверами и промышленными системами – они зачастую разработаны с широким использованием shell-технологий и при этом крайне редко обновляются. Другие кандидаты на взлом с использованием новой уязвимости – точки доступа, маршрутизаторы, встраиваемые устройства, принтеры и вообще любые устройства, связанные с «Интернетом вещей».
Злоумышленники также могут получить доступ к домашним роутерам, NAS, Web-камерам и другим устройствам в результате атаки на Web-интерфейс, используемый для их удаленного администрирования и настройки. Хакеру в этом случае даже не надо знать логин и пароль для входа в панель управления.
Уязвимость примечательна тем, что использует вполне легальный механизм командной оболочки, в сочетании с распространенной в сообществе Unix/Linux техникой применения команд ОС, отмечают в компании Positive Technologies. Пользователям смартфонов, планшетов и ноутбуков под управлением Linux и Mac OS X не рекомендуется подключаться к незнакомым точкам беспроводного доступа до установки обновления безопасности.
Уже зафиксирован ботнет, который распространяется – причем с огромной скоростью – с использованием уязвимости Shellshock и ориентирован на устройства MIPS и x86-архитектуры – серверы и маршрутизаторы. Как подчеркивают в компании Qrator Labs, Shellshock по своим последствиям уступает только нашумевшей уязвимости HeartBleed, и о нем мы будем слышать еще многие годы.
Уязвимость Shellshock – это уже вторая (после Heartbleed) уязвимость за 2014 г., позволяющая злоумышленникам массово получать доступ к удаленным системам, отмечают в компании Wallarm. Даже после появления «заплатки», исправляющей уязвимость, ShellShock еще годы будет актуален, в особенности на маршрутизаторах и устройствах Internet of Things, уверены эксперты.