Eksperci o Shellshocku: dla jednych to katastrofa, inni uspokajają, że aż tak źle nie jest
Shellshock – luka w powłoce Bash, powszechnie wykorzystywanej wLinuksie i domyślnie w OS X – porównywana jest już do lukiHeartbleed,błędu w OpenSSL, który pozwalał napastnikom na uzyskanie zrzutówpamięci atakowanych maszyn, a wraz z nimi np. loginów i haseł.Porównanie to jest o tyle uzasadnione, że w obu tych wypadkachchodzi o jeden z kluczowych opensource'owych komponentówsystemowych, w obu też zagrożone są nie tylko serwery, ale teżmiliony trudnych w załataniu urządzeń, takich jak routery,komputery wbudowane czy nawet kamerki IP. Wiele jednak wskazuje nato, że mamy do czynienia ze znacznie poważniejszym kryzysem.
26.09.2014 17:01
Secunia wydała dziś komunikatw tej sprawie, pisząc, że Shellshock jest groźniejszy niżHeartbleed, gdyż pozwala na zdalne wykonywanie kodu, podczas gdyluka w OpenSSL pozwalała „tylko” na przejęcie wrażliwychinformacji. Amerykański Narodowy Instytut Standardów i Technologiiocenił nowe zagrożenie na „10” w skali dziesięciostopniowej,podkreślając zarówno wpływ jak i łatwość ataku. Simon Edwards,ekspert z firmy Damballa, podkreślił zaś że choć najbardziejzagrożone są webserwery, to zaatakowane mogą zostać wszelkiegorodzaju urządzenia komputerowe. Te najmniejsze na szczęście zwyklekorzystają z odpornego na atak BusyBoksa, ale np. switche, routery,drukarki czy systemy kontroli przemysłowej mają bardzo częstozainstalowanego Basha.
Ben Johnson, główny badacz firmy Bit9 podkreśla z koleizłożoność natury odkrytej luki. O ile w wypadku Heartbleedasprawa była prosta, administratorom wystarczyło sprawdzić, którąwersję OpenSSL mają zainstalowaną w systemie, to Shellshockskazuje ich na sprawdzanie dziesiątek usług sieciowych, któremogłyby wykorzystywać Basha do swojego działania. Ekspert uważa,że może to wykraczać poza umiejętności wielu osób, a nawet dlaprofesjonalistów być poważnym wyzwaniem.
Zdecydowanie nieciekawie wygląda perspektywa, którą roztaczaGavin Millard, dyrektor techniczny firmy Tenable. Uważa on, żeShellshock posłuży do zbudowania robaków, które pełzając poSieci będą zarażały jedną podatną linuksową maszynę podrugiej, tak jak dawno temu robiły to z Windows robaki takie jakSlammer czy Blaster. Tym razem jednak na stu tysiącach zarażonychkomputerów się nie skończy – Millard mówi o nawet stu milionachurządzeń. Większość z nich to praktycznie niemożliwe dozałatania urządzenia wbudowane, elementy Internetu Rzeczy. Nawetjeśli jednak nie będziemy mieli shellshockowych robaków, to i takucierpi mnóstwo atakowanych gotowymi już skryptami serwerów WWW.Darien Kindlund, dyrektor bezpieczeństwa w firmie FireEye ocenia, żeobecnie podatnych jest 20-50% wszystkich webserwerów, wszczególności starszych maszyn, na których działają klasyczneskrypty CGI.
Być może jednak reakcje są przesadzone. To prawda, gotowe sąjuż nawet złośliweserwery DHCP, pozwalające np. zrestartować podłączające siędo nich komputery z podatną wersją oprogramowania, czy furtki,dzięki którym możemy zdalnie sterować niezałatanymi serwerami,ale np. deweloperzy cenionego frameworka Metasploit nawołujądo powstrzymania się od paniki. Według nich większość systemówz zainstalowanymi niezałatanymi wersjami Basha nie będzie podatnana zdalny atak. Wymaga on od napastnika możliwości wysłaniaspreparowanej zmiennej środowiskowej do napisanego w bashu programu,będącego częścią usługi sieciowej, daje też pewne ciekawewektory ataku w systemach z wieloma użytkownikami, ale nie jest napewno początkiem apokalipsy.
W wykryciu, czy nasze systemy nie są czasem atakowaneShellshockiem, pomóc może narzędziesysdig. Otrzymało ono właśnie aktualizację, dzięki którejpo uruchomieniu go z flagą -c shellshock_detect, dostaniemy listęwszystkich procesów, które mogą być atakowane. Więcej na tentemat znajdziecie na stronieprojektu.
Apple ma natomiast dobrą wiadomość dla użytkowników Maków.Co prawda nie przygotowało jeszcze łatki dla wykorzystywanej wkomputerach z OS X wersji Basha, ale twierdzi, że typowy użytkownikMacBooka czy iMaca nie powinien czuć się zagrożony. Powłoka tanie jest w OS X ujawniana normalnie działającym usługomsystemowym. Martwić się mogą jedynie ci użytkownicy, którzyuruchomili zaawansowane usługi uniksowe.Otrzymają oni łatki w najbliższym możliwym terminie.