Shellshock: največja ranljivost doslej

Objavljeno: 26.9.2014 01:00 | Teme: varnost, hacker, linux, operacijski sistem

Strokovnjaki za varnost so kot kaže našli morda celo največjo ranljivost v računalniških sistemih doslej. Ta se nanaša na ukazno vrstico Bash (Bourne-Again Shell), kot sestavni del ogromnega števila sistemov na temelju Linuxa in Unixa, ranljiv pa je tudi Mac OS X.

Varnostna ranljivost Shellshock se nanaša na zmožnost izvajanja poljubnih ukazov, ki so napadenemu sistemu posredovani kot dodatne vrstice v skriptah za Bash. Dejstvo je, da veliko število programov, vključno s spletnimi strežniki, izvaja veliko opravil v ozadju kot klic skript v Bashu. Napaka je ocenjena z najvišjo stopnjo 10 od 10 po resnosti, zaskrbljujoča pa je enostavnost, kako lahko na oddaljenem sistemu izvajamo vsiljeno kodo in ga s tem uporabljamo kot »zombija«.

V primerjavi z ranljivostjo Heartbleed, ki so je letos našli v odprtokodnem programu OpenSSL, je Shellshock še bistvo bolj razširjen. Če je bila pri Heartbleedu ocena, da je prizadetih okoli 500.000 računalnikov, v primeru Shellshocka ocenjujejo, da jih je prizadetih kar 500 milijonov. V to skupino lahko štejemo osebne računalnike, strežnike, pa tudi internetne usmerjevalnike, omrežne video kamere in celo internetno priključene stvari (IoT), saj večina vsebuje in uporablja Bash.

Da ne gre samo za potencialno nevarnost potrjujejo v laboratoriju Kaspersky Labs, kjer navajajo, da je bila ranljivost Shellshock že uporabljena za vbrizgavanje druge zlonamerne kode v spletnih strežnikih in vdore hackerjev. Število tovrstnih prijav se v zadnjem času že povečuje.

Za posamezne izdelke so popravki že na voljo, težava je v temu, da velika večina sistemov ne opravlja rednih posodobitev in s tem ostaja ranljiva. Strokovnjaki poudarjajo, da je bila ranljivost prisotna že dolgo vrsto let, torej se tiče tudi zelo starih izdelkov. Pri teh bo glavna težava v temu, da proizvajalci zanje ponekod ne nudijo več popravkov, zato lahko ostanejo trajno ranljivi.

Shellshock razkriva še eno pomanjkljivost rešitev, ki temeljijo na tovrstni (odprti) kodi. Tako kot pri Heartbleedu, tudi v primeru Shellshocka za ukazno vrstico Basha stoji le ena sama oseba: Chet Ramey, razvijalec na univerzi Case Western Reserve University v Ohiu. Po Heartbleedu je veliko organizacij podarilo precej denarja, da bi povečali ekipo, ki se ukvarjajo z vzdrževanjem OpenSSL. Podobno bo verjetno treba narediti tudi v primeru Basha.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

Komentirajo lahko le prijavljeni uporabniki