Minden, amit a súlyos Shellshock hibáról tudni érdemes

A Linux és UNIX alapú rendszereket veszélyeztető, súlyos Shellshock sérülékenység ellenszerei folyamatosan jelennek meg. A kiadott javításokat érdemes mihamarabb telepíteni.
 

Az első félévben felfedezett, OpenSSL-t sújtó sérülékenység napvilágra kerülése óta kétségtelenül a Shellshock névre keresztelt biztonsági rés kavarta a legnagyobb port. Ez persze nem véletlen, hiszen ezúttal is egy olyan súlyos, kritikus veszélyességi besorolással ellátott hibáról van szó, amely széles körű problémákhoz vezethet. Ráadásul egyszerűbben kihasználható, mint a Heartbleed, és jóval több számítógépet, illetve eszközt érinthet.
 
A sebezhetőségre a múlt héten Stephane Chazelas, az Akamai egyik, UNIX és Linux rendszerekért felelős adminisztrátora lett figyelmes. A vizsgálatok rögtön megkezdődtek, hogy a sérülékenység valódi kockázatai, jellemzői mihamarabb feltérképezésre kerülhessenek. Az elemzésekbe sorba kapcsolódtak be a biztonsági cégek. Hamar bebizonyosodott, hogy a hiba valóban komoly veszélyt rejt minden olyan rendszer esetében, amelyen a Bash shell elérhető. Ennél fogva a UNIX, a Linux és a Mac OS X alapú számítógépek, eszközök is érintettek lehetnek.
 
Öreg hiba nem vén hiba
 
A napokban rivaldafénybe került sérülékenység érdekessége, hogy már 22 éve jelen van a UNIX és a Linux rendszerekben, de valamiért eddig senkinek sem tűnt fel. Pedig egy nagyon egyszerűen kihasználható biztonsági résről van szó, amely parancsok jogosulatlan végrehajtását segítheti elő a támadók számára.
 
Sajnos a hiba kihasználási módjának csak a támadók fantáziája szabhat határt, akik akár teljes mértékben átvehetik az irányítást az érintett rendszerek felett. A Red Hat felvázolt néhány eshetőséget, hogy mi az, amit a hackerek megtehetnek. A legveszélyesebb forgatókönyv talán az, amikor CGI scriptek felhasználásával, webszervereken okoznak károkat. Emellett azonban a Shellshock olyan széles körben használatos technikákon, funkciókon és szoftvereken keresztül is kiaknázhatóvá válhat, mint amilyen például az SSH, a dhclient (DHCP), a CUPS vagy a Postfix.
 
A sérülékenységet az okozza, hogy a Bash nem megfelelően kezeli a környezeti változókat, és az azokba elhelyezett értékeket esetenként szó nélkül lefuttatja. Ezért a támadónak nincs más dolga, mint egy speciálisan összeállított környezeti változót létrehozni, amit aztán a Bash feldolgoz, és a benne foglalt értéket parancsként végrehajtja. Akár Bash függvények meghívására is mód adódhat. A kártékony célokra felhasznált környezeti változóknak a neve bármi lehet, csupán azok értéke számít.
Sebezhető a rendszerem?
 
Annak kiderítéséhez, hogy egy rendszer sebezhető-e vagy sem, többféle módszer is létezik. Ezek közül a legegyszerűbb a következő parancs lefuttatása:


 
Amennyiben ennek kimenete a következő eredményt adja, akkor az adott számítógép sérülékeny a Shellshock-kal szemben:


 
Amennyiben viszont a következő kimenet generálódik, akkor nincs szükség óvintézkedésekre:


 
Ugyanez Mac OS X alatt így fest:  
Sorba jönnek a hibajavítások
 
A biztonsági rés befoltozását a Linux disztribúciók fejlesztői már megkezdték, és néhányuk már ki is adta azokat a csomagokat, amelyek telepítésével egyszerűen megszüntethető a hiba. Azonban a frissítéseket körültekintően, megfelelő tesztelést követően érdemes telepíteni, mivel egyelőre nehéz megjósolni, hogy a rohamtempóban kiadott patch-ek nem okoznak-e fennakadásokat. A Bash ugyanis olyan széles körben használatos, hogy nem lehet tudni azt, hogy egyes alkalmazásokban nem fognak-e kompatibilitási problémák felmerülni.
 
Azon rendszerek esetében, amelyekhez még nem váltak elérhetővé a szükséges patch-ek, különféle kockázatcsökkentő lépésekkel lehet védekezni. Így például segíthet a mod_security gondos konfigurálása, vagy speciális Iptables szabályok felállítása. Ezek ugyan viszonylag könnyen megkerülhető módszerek, de legalább az automatizált támadások többsége ellen védelmet nyújtanak.
 
Sokáig fog tartani a rendrakás
 
Mivel a Bash bug rendkívül sok rendszert érint, olyanokat is, amelyekhez már támogatás sincs, ezért egy igencsak elhúzódó védekezésre kell felkészülni. Különösen problémás lehet a helyzet a Linux alapú hálózati eszközök, otthoni adattárolók (NAS-ok), kamerák stb. esetében, amelyekről a gyártók már letettek, vagy a felhasználók által csak ritkán kerülnek frissítésre.
 
"Ez a sebezhetőség nagyon komoly potenciális veszélyforrás. Maximális, 10-es veszélyességi besorolást kapott, ami maximális ütőerőt jelent, miközben a kihasználása korántsem bonyolult. Vagyis a támadók számára könnyű prédát jelent. Az érintett szoftver, a Bash széles körben használatos, így a támadók a hibát számos eszközön vagy akár webszervereken is a saját javukra fordíthatják. Átvehetik a hatalmat az operációs rendszer felett, bizalmas információkhoz férhetnek hozzá, manipulálhatják a rendszereket stb. Aki olyan számítógépet, eszközt használ, amelyen a Bash is megtalálható, rögtön frissítsen" - nyilatkozta Tod Beardsley, a Rapid7 vezető rendszermérnöke.