Масштабная уязвимость Heartbleed в широко распространённом криптографическом пакете OpenSSL показала, насколько уязвимой может быть Сеть. Теперь сообщается о новой не менее серьёзной уязвимости (CVE-2014-6271) в популярной командной оболочке Bash для UNIX-систем. Командный интерпретатор Bash (или Bourne-Again Shell) используется во многих серверах на базе Unix и Linux.
Уязвимость, которую называют Bashdoor или Shellshock, затрагивает все версии Bash.В отличие от Heartbleed, эксплуатирующие уязвимость Bash атаки позволяют удалённо исполнять код, благодаря чему злоумышленники могут распространять вредоносное ПО. Как отмечают эксперты, большая часть атак будет нацелена на веб-серверы, а особенно уязвимыми являются те, на которых исполняются PHP-приложения. Подключаемые к Сети различные умные устройства тоже могут оказаться уязвимыми в долгосрочной перспективе, так как они часто медленно обновляются. Дэвид Джакоби (David Jacoby) из Лаборатории Касперского отмечает, что настоящий масштаб проблемы пока ещё трудно оценить.
В одном из предварительных весьма ограниченных IP-сканирований Роберт Грэхам (Robert David Graham) из Errata Security обнаружил без труда 3000 уязвимых систем — особенно уязвимыми оказались встраиваемые веб-серверы на нестандартных портах. Через несколько часов он также обнаружил, что кто-то уже использует аналогичную тактику для распространения вредоносного кода. Господин Грэхам полагает, что указанная уязвимость уже много лет присутствует в командной оболочке Bash, и она может привести к более масштабным проблемам, чем печально известная Heartbleed.
«Огромная доля программных интерфейсов взаимодействуют с Bash тем или иным способом. Мы никогда не сможем каталогизировать всё ПО, которое подвержено данной уязвимости», — добавил он. Исследователь Berkeley ICSI Николас Вивер (Nicholas Weaver) согласен с пессимистической оценкой и добавляет, что проблема будет актуальна ещё годы.Стоит отметить, что большая часть сетевого оборудования вроде маршрутизаторов и точек доступа работает на базе различных UNIX-платформ, а потому уязвимость создаёт огромную угрозу Сети — атаки могут выйти из-под контроля. Ричард Стиннон (Richard Stiennon) из Security Current отмечает, что код может вызвать крах Интернета по типу SQL Slammer — в 2003 году атака существенно замедлила обмен мирового веб-трафика.
Сетевые операторы уже подтверждают, что уязвимость активно эксплуатируется. Сеть доставки контента CloudFlare выпустила недавно особые правила работы брандмауэров с целью защиты своих сайтов от новой уязвимости, и с тех пор хакеры активно пытались использовать новый опасный инструмент. «Мы заметили, что злоумышленники пытались заполучить файлы паролей, закачать вредоносный код на системы, получить удалённый доступ и так далее, — отметил представитель Cloudflare. — Была даже одна атака, имевшая целью открытие и закрытие оптического дисковода на сервере».
Были зарегистрированы атаки и на крупные узлы сетевого оборудования. «Многие сетевые системы высокого класса построены на базе платформы Linux или Unix и могут быть уязвимыми. Дыры в защите ключевого сетевого оборудования гораздо проблематичнее, чем взлом компьютера одного конечного пользователя, так как это позволяет перенаправлять трафик и „прослушивать“ передаваемые данные в больших масштабах», — отмечает исследователь Ашкан Солтани (Ashkan Soltani).
В краткосрочной перспективе нас ждёт противостояние команд IT-специалистов и злоумышленников, желающих поскорее воспользоваться проблемой. Заплатки уже выпущены для ряда дистрибутивов Linux, но многие полагают, что они полезны лишь в качестве временной сдерживающей меры до появления полноценного долгосрочного исправления проблемы. Например, Secunia Security выступила с заявлением, что заплатка, выпущенная GNU, неэффективна.