/ Datori / Bash ShellShock – vairāk nekā 20 gadus vecs caurums skar Linux, UNIX un Mac OS X

Bash ShellShock – vairāk nekā 20 gadus vecs caurums skar Linux, UNIX un Mac OS X

bash-1200
Raitis Misa uz 26/09/2014 - 14:25 uz Datori, Drošība, Programmas

Franču UNIX/Linux speciālists Stefans Čazelass (Stephane Chazelas) ir atklājis čaulas Bash, kas tiek izmantota vairumā Linux un UNIX distributīvu, kā arī operētājsistēmā Mac OS X, ievainojamību CVE-2014-6271 jeb ShellShock. Tā ir 22 gadus veca (kopš Bash versijas 1.13) ievainojamība, kas nodrošina iespēju attālināti izpildīt uzbrucēja kodu svešās datorsistēmās.

Tā ir īpaši bīstama ar savu plašo izplatību. Ne tikai datori un serveri, bet arī maršrutētāji, tīkla videokameras un daudzas citas ierīces var kļūt par sekmīgu uzbrukumu upuriem. Situāciju pasliktina tas, ka daudzas no ievainojamām tīkla ierīcēm ir tik vecas, ka to programmatūrai vairs netiek izlaisti atjauninājumi. Tātad pat pēc ievainojamības ShellShock ielāpu iznākšanas, internetā vēl ilgu laiku saglabāsies liels skaits ievainojamu datoru un citu ierīču. Internetā jau tiekot apspriesta tīkla tārpa radīšanas iespēja!

Kas tas ir un ko darīt?

Tas, ka situācija ir nopietna ir skaidrs, jo ASV Nacionālā ievainojamību datubāzē Shellshock visos bīstamības aspektos novērtēta ar 10 no 10. Tas nozīmē, ka to ignorēt nedrīkst.

Parasti Bash (Bourne Again Shell) čaulu izmanto programmētāji un administratori, un tā plašākam lietotāju lokam nav pieejama. Shellshock šo situāciju maina. Tā kā Linux un Mac OS X saknes meklējamas Unix, tām ir daudz kopīga, arī Bash. Un tātad tās visas ir ar šo caurumu.

Ievainojamība ir saistīta ar Bash vides mainīgo apstrādi. Tas ir vieds, kā var ietekmēt programmatūras darbību. Šī ievainojamība rada bažas, jo daudzi populāri rīki izmanto komandrindas komandas, lai automātiski veiktu izmaiņas šajos mainīgajos. Vienkāršojot ir tā, ka Shellshock nodrošina to, ka šos mainīgos iespējams koriģēt izpildot kodu, kas nāk no attālas sistēmas. Tātad ir iespējams radīt tādu šo mainīgo komplektu, kas gala rezultātā radītu iespēju lietotāja datorā izpildīt programmas un komandas. Tātad faktiski dators var nonākt pilnā uzbrucēja rīcībā.

Tiesa, pagaidām par šādiem uzbrukumiem ziņu nav, bet drošības eksperti ir pārliecināti, ka tie notiks, jo Bash ir ļoti izplatīta.

Šobrīd labākais ko var darīt ir uzstādīt pieejamos ielāpus un apzināt sistēmas, kas ir potenciāli apdraudētas. Tiesa, visdrīzāk, ka esošie ielāpi, kaut arī mazina uzbrukuma draudus, tos pilnībā tomēr nenovērš.

Ja esat monitoringa sistēmas vai ugunsmūra administrators vērojiet vai nav uzbrukuma pazīmju. Lietotājiem atliek cerēt, ka uzbrucēji neizrādīsies gudrāki par aizsardzības risinājumiem.

Bet kā tad ar Mac?

Mac datoru gadījumā pastāv risks, ka kāda lietojumprogramma izpilda neuzticamu skriptu, kas nācis no tīmekļa. Vispārējs ieteikums – gaidiet, kamēr Apple izlaidīs ielāpu.

Tomēr lielākā daļa lietotāju nav riska grupā, apgalvo Apple, jo OS X standarta konfigurācijā ir droša pret šo ievainojamību. Ja tomēr lietotāji ir tik izglītoti, ka māk ieslēgt servisus, kas ievainojamību aktivizē, tie arī pratīs tos uz laiku izslēgt vai paši saviem spēkiem aizlāpīt šo Bash caurumu.

Mūsu lasītāja komentārs, ko saņēmām pa e-pastu un kas neietilpst portāla komentāru lauka ietvaros, bet ir informatīvs, tādēļ publicējam.

Jā tas tiešām ir samērā viegli izdarāms.
Nu jau ir izstrādāta virkne ar ielāpiem. Šobrīd sistēmu administratoriem, es ticu, ka visi to dara, ir rūpīgi jāseko līdzi jaunu ielāpu izstrādei.
Ja tiek lietota kāds no lielākajiem Linux distributīviem, tad nav liela pamata uztraukumam, vienkārši regulāri ir jāpārbauda un attiecīgi jāinstalē "Security" sadaļas jauninājumi sistēmā. Jo cilvēki, kas strādā pie sistēmu uzturēšanas, par visu parūpēsies jūsu vietā. Protams, jauninājumi jāinstalē vien būs pašam, vai arī jāuzstāda automātiska to instalēšana, vēlams ne retāk kā reizi dienā, vismaz šajā periodā.
Ja tiek lietota kāda mazāk populāra sistēma, tad visdrīzāk tās administrators/lietotājs ir pietiekami zinošs, lai pats saprast kur, kas un kā ir jādara.
Tāpat vienmēr ir iespēja nomainīt (piemēram, izmantojot hard link) /bin/bash uz kādu citu, piemēram /bin/sh. Šādā gadījumā visa šī jezga kļūst neaktuāla. Vienkārši nomainīt sistēmas noklusēto shell nepietiks, jo iepriekšējā konfigurācija tādējādi netiks mainīta.

Nevienu brīdi nenoliedzot šīs ievainojamības nopietnību taču ir viens, neliels, mierinājums - visvairāk sistēmās šī ievainojamība ir bīstama tieši web sistēmu uzturētājiem, tas ir caur web servisu ir iespējams izsaukt bash, kā rezultātā piekļūt sistēmai. Taču šajā gadījumā uzbrucējs iegūs tikai httpd lietotāja privilēģijas, dažādās sistēmās šis lietotājs saucas dažādi. Taču, ja sistēma ir korekti konfigurēta, tad šim lietotājam ir ļoti ierobežotas tiesības sistēmā, tiesa iegūt pilnīgu kontroli pār web lapām, to avotu un daļu datu bāzes tiesību (atkarīgs no lapas konfigurācijas) šādā veidā ir iespējams, bet sistēmas priviliģēta lietotāja tiesībās šādi neiegūt, bet, protams, tas paver iespējas daudziem mēģinājumiem un risinājumiem.

Lauris Misa

2 RAKSTĪT KOMENTĀRU

Leave a Reply to Vai tiešām Cancel reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

2 Komentāri
  • 02/10/2014

    Vai tiešam nepiederošam attālināti tik viegli tīkt līdz bašam?

    Vai tiešām
    Reply
    • 02/10/2014

      Tapēc jau to sauc par caurumu. Protams, zināmas iemeņas ir vajdzīgas.

      Raitis Misa
      Reply