Уязвимости bash оказались подвержены даже F5 Big-IP

Эксперт по безопасности Ашкан Солтани обнаружил подверженность веб-интерфейса F5 Big-ip уязвимости bash, обнародованной сутки назад:

Злоумышленники прямо сейчас целенаправленно сканируют подсети IP-адресов в поиске уязвимых веб-серверов. Александр Лямин, генеральный директор и основатель Qrator Labs, рассказал Roem.ru, что это обозначает:

Виновник торжества — Bash — по умолчанию используется в большинстве Linux и BSD систем, что делает уязвимость чрезвычайно опасной. Но даже если вы не используете Linux, BSD и Mac OS X на собственных серверах, вы всё равно можете пострадать от CVE-2014−6271 и CVE-2014−7169. Уязвимости подвержен Web-интерфейс администрирования целого ряда сетевых устройств (маршрутизторы, роутеры, гаджеты с удаленным управлением), одно из которых может быть и в вашей инфраструктуре. При этом для эксплуатации уязвимости веб-интерфейса не требуется вводить корректный логин и пароль.

Мы поймали за хвост живой ботнет уже написанный для x86 и MIPS, который посредством этих уязвимостей распространяется со скоростью калифорнийского пожара. Уязвимость вчера — ботнет сегодня. На 21:00 25 сентября в ботнете было несколько десятков тысяч участников.

Qrator Labs и их партнёры из Wallarm (защитные решения для веб-приложений) поясняют:

Хакеры могут взламывать веб-приложения, использующие в работе популярный интерфейс CGI, и выполнять на уязвимой системе произвольные команды. В некоторых случаях атака может быть произведена через протоколы SSH (используется для удаленного управления) и DHCP (применяется для раздачи клиентам IP-адресов).

Александр Лямин считает, что «Shellshock по своим последствиям уступает только нашумевшей уязвимости HeartBleed, и о Shellshock мы будем слышать еще многие годы». Достанется серверам, маршрутизаторам (включая домашние роутеры), рабочим компьютерам на на OS X и Linux.

Специалисты рекомендуют: Немедленное обновление используемой версии Bash или замена Bash на альтернативный интерпретатор. Ограничение доступа к уязвимым сервисам и устройствам. Для веб-приложений: отключение функционала, реализованного через интерфейс CGI, фильтрация пользовательского ввода, фаервол.

Эксперты предупреждают, что заметная часть подключаемых к сети устройств навсегда останется уязвимой, даже после того, как к Shellshock будут написаны соответствующие патчи. Например использующиеся, морально устаревшие, и потому неинтересные своим производителям: роутеры, NAS, веб-камеры, возможно так и не дождутся новых прошивок. Что делает судьбу Shellshock поинтереснее серверной истории HeartBleed.

Добавить 7 комментариев

  • Ответить

    Аааа паника паника. Если «интерфейс управления сетевым устройством» торчит наружу — это уже критично, и, весьма вероятно, абузилось уже не раз в прошлом; обычно такие вещи всё-таки firewall’ят и паролят. DHCP-вектор хуже, IMHO, но далеко не все дистрибутивы/операционки подвержены.

  • Ответить
    Alexander Lyamin Qrator/HLL

    Яр, DHCP неприятен, но локален с регулярностью выше чем зафильтрованный web-managment разных железок. Особенно консьюмерских железок, которые не обновляются приблизительно никогда. DHCP+CGI это вообще сладкая парочка, и именно поэтому PANIC++.

  • Ответить

    DHCP плох тем, что выставленный под скамейку в мегамолле коробок с точкой доступа ZARA_FREE_WIFI (и йотским яйцом впридачу, чтобы ничего не заподозрили) потенциально может собрать мобильный/ноутбучный ботнет за один световой день. Консумерские железки — у меня нет статистики, поэтому я не буду говорить «большинство», но я не видел ни одной железки, в которой шеллом был бы bash. Чаще всего я видел busybox или что-то лёгкое, bash — свинка по памяти, и оверкилл по фичам.

  • Ответить

    Android и iOS не уязвимы, т.к. там нет bash в стандартной поставке. Пишут, что нечто связанное с jailbreak для iOS — Cydia — ставит bash, но сильно сомневаюсь, что DHCP клиент в iOS после этого начинает его использовать.