Minden, amit a súlyos Shellshock hibáról tudni érdemes

A Linux és UNIX alapú rendszereket veszélyeztető, súlyos Shellshock sérülékenység ellenszerei folyamatosan jelennek meg. A kiadott javításokat érdemes mihamarabb telepíteni.
 

Az első félévben felfedezett, OpenSSL-t sújtó sérülékenység napvilágra kerülése óta kétségtelenül a Shellshock névre keresztelt biztonsági rés kavarta a legnagyobb port. Ez persze nem véletlen, hiszen ezúttal is egy olyan súlyos, kritikus veszélyességi besorolással ellátott hibáról van szó, amely széles körű problémákhoz vezethet. Ráadásul egyszerűbben kihasználható, mint a Heartbleed, és jóval több számítógépet, illetve eszközt érinthet.
 
A sebezhetőségre a múlt héten Stephane Chazelas, az Akamai egyik, UNIX és Linux rendszerekért felelős adminisztrátora lett figyelmes. A vizsgálatok rögtön megkezdődtek, hogy a sérülékenység valódi kockázatai, jellemzői mihamarabb feltérképezésre kerülhessenek. Az elemzésekbe sorba kapcsolódtak be a biztonsági cégek. Hamar bebizonyosodott, hogy a hiba valóban komoly veszélyt rejt minden olyan rendszer esetében, amelyen a Bash shell elérhető. Ennél fogva a UNIX, a Linux és a Mac OS X alapú számítógépek, eszközök is érintettek lehetnek.
 
Öreg hiba nem vén hiba
 
A napokban rivaldafénybe került sérülékenység érdekessége, hogy már 22 éve jelen van a UNIX és a Linux rendszerekben, de valamiért eddig senkinek sem tűnt fel. Pedig egy nagyon egyszerűen kihasználható biztonsági résről van szó, amely parancsok jogosulatlan végrehajtását segítheti elő a támadók számára.
 
Sajnos a hiba kihasználási módjának csak a támadók fantáziája szabhat határt, akik akár teljes mértékben átvehetik az irányítást az érintett rendszerek felett. A Red Hat felvázolt néhány eshetőséget, hogy mi az, amit a hackerek megtehetnek. A legveszélyesebb forgatókönyv talán az, amikor CGI scriptek felhasználásával, webszervereken okoznak károkat. Emellett azonban a Shellshock olyan széles körben használatos technikákon, funkciókon és szoftvereken keresztül is kiaknázhatóvá válhat, mint amilyen például az SSH, a dhclient (DHCP), a CUPS vagy a Postfix.
 
A sérülékenységet az okozza, hogy a Bash nem megfelelően kezeli a környezeti változókat, és az azokba elhelyezett értékeket esetenként szó nélkül lefuttatja. Ezért a támadónak nincs más dolga, mint egy speciálisan összeállított környezeti változót létrehozni, amit aztán a Bash feldolgoz, és a benne foglalt értéket parancsként végrehajtja. Akár Bash függvények meghívására is mód adódhat. A kártékony célokra felhasznált környezeti változóknak a neve bármi lehet, csupán azok értéke számít.
Sebezhető a rendszerem?
 
Annak kiderítéséhez, hogy egy rendszer sebezhető-e vagy sem, többféle módszer is létezik. Ezek közül a legegyszerűbb a következő parancs lefuttatása:


 
Amennyiben ennek kimenete a következő eredményt adja, akkor az adott számítógép sérülékeny a Shellshock-kal szemben:


 
Amennyiben viszont a következő kimenet generálódik, akkor nincs szükség óvintézkedésekre:


 
Ugyanez Mac OS X alatt így fest:

 
Sorba jönnek a hibajavítások
 
A biztonsági rés befoltozását a Linux disztribúciók fejlesztői már megkezdték, és néhányuk már ki is adta azokat a csomagokat, amelyek telepítésével egyszerűen megszüntethető a hiba. Azonban a frissítéseket körültekintően, megfelelő tesztelést követően érdemes telepíteni, mivel egyelőre nehéz megjósolni, hogy a rohamtempóban kiadott patch-ek nem okoznak-e fennakadásokat. A Bash ugyanis olyan széles körben használatos, hogy nem lehet tudni azt, hogy egyes alkalmazásokban nem fognak-e kompatibilitási problémák felmerülni.
 
Azon rendszerek esetében, amelyekhez még nem váltak elérhetővé a szükséges patch-ek, különféle kockázatcsökkentő lépésekkel lehet védekezni. Így például segíthet a mod_security gondos konfigurálása, vagy speciális Iptables szabályok felállítása. Ezek ugyan viszonylag könnyen megkerülhető módszerek, de legalább az automatizált támadások többsége ellen védelmet nyújtanak.
 
Sokáig fog tartani a rendrakás
 
Mivel a Bash bug rendkívül sok rendszert érint, olyanokat is, amelyekhez már támogatás sincs, ezért egy igencsak elhúzódó védekezésre kell felkészülni. Különösen problémás lehet a helyzet a Linux alapú hálózati eszközök, otthoni adattárolók (NAS-ok), kamerák stb. esetében, amelyekről a gyártók már letettek, vagy a felhasználók által csak ritkán kerülnek frissítésre.
 
"Ez a sebezhetőség nagyon komoly potenciális veszélyforrás. Maximális, 10-es veszélyességi besorolást kapott, ami maximális ütőerőt jelent, miközben a kihasználása korántsem bonyolult. Vagyis a támadók számára könnyű prédát jelent. Az érintett szoftver, a Bash széles körben használatos, így a támadók a hibát számos eszközön vagy akár webszervereken is a saját javukra fordíthatják. Átvehetik a hatalmat az operációs rendszer felett, bizalmas információkhoz férhetnek hozzá, manipulálhatják a rendszereket stb. Aki olyan számítógépet, eszközt használ, amelyen a Bash is megtalálható, rögtön frissítsen" - nyilatkozta Tod Beardsley, a Rapid7 vezető rendszermérnöke.
 
  1. 3

    A Cisco IOS XE-hez több patch vált elérhetővé.

  2. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  3. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  4. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  5. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  6. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  7. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  8. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  9. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  10. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség