- Google добавляет в поисковик ещё больше ИИ и... (845)
- Чипмейкеры сохраняют оптимизм: испорченные... (846)
- Элитные яхты станут атомными, и это лишь... (1048)
- На АвтоВАЗе сварили первые четыре кузова для... (928)
- Новая статья: Обзор Acer Nitro Radeon RX... (16729)
- «Пройду заново с русской озвучкой»: ремейк... (3931)
- Топовый премиум-седан — очень быстрый и... (4834)
- Учёные обнаружили обширные залежи льда на... (921)
- Новый трейлер раскрыл дату выхода в раннем... (943)
- Новое фото: марсоход Curiosity получил... (788)
- NASA продемонстрировало рекорд лазерной... (850)
- Firaxis анонсировала системные требования... (945)
- Intel выпустила самый дорогой в мире... (916)
- Intel выпустила самый дорогой в мире... (860)
- В Windows 11 24H2 появилась файловая система... (1023)
- NVIDIA переманила легендарного... (854)
Уязвимость ShellShock позволяет атаковать множество устройств: от OS X до промышленных серверов
Дата: 2014-09-25 17:34
Эксперты Positive Technologies предупреждают о новой уязвимости ShellShock (CVE-2014-6271), использование которой позволяет выполнить произвольный код. Уязвимость затронула не только интернет-серверы и рабочие станции, но и устройства, которые мы используем в повседневной жизни - смартфоны и планшеты, домашние маршрутизаторы, ноутбуки.
Уязвимость присутствует в одном из фундаментальных компонентов Linux-систем, командной оболочке bash. Механизм обработки экспортированных функций позволяет злоумышленнику удаленно запускать произвольные команды операционной системы, в случае если он имеет возможность влиять на переменные окружения системы. Подобная ситуация часто складывается в веб-приложениях при использовании интерфейса CGI (например, сервер Apache с использованием mod_cgi или mod_cgi). Также уязвимы распространенные технологии онлайн-разработки PHP и Python при использовании вызовов system/exec или os.system/os.popen, соответственно. Примером уязвимого приложения является распространенная панель управления хостингом cPanel. Существуют и другие методы эксплуатации, связанные с применением механизма ограниченного доступа ForceCommand в OpenSSH, реализуемого в таких системах, как Git и Subversion.
Есть информация, что ряд исследователей безопасности, в частности @ErrataRob, уже активно сканируют глобальную сеть в поисках уязвимых серверов. Эксперты Positive Technologies рекомендуют срочно установить обновление безопасности на все общедоступные серверы GNU/Linux, поскольку по негативным последствиям данная уязвимость может быть сопоставима с нашумевшей ошибкой в OpenSSL - HeartBleed. В зоне риска системы удаленного управления серверами и промышленными системами. Зачастую они разработаны с широким использованием shell-технологий и при этом крайне редко обновляются. Другие потенциальные кандидаты на взлом с использованием новой уязвимости - точки доступа, маршрутизаторы, встраиваемые устройства, принтеры и вообще любые устройства, связанные «интернетом вещей».
Более того, потенциально атака может быть произведена и на пользовательские устройства, такие как смартфоны и планшеты под управлением Android: достаточно просто подключится к управляемой злоумышленником точке беспроводного доступа. Такие атаки наиболее опасны в местах массового скопления людей, активно использующих Wi-Fi, - в кафе, в метро, в аэропорту.
«Эта уязвимость примечательна тем, что использует вполне "легальный" механизм командной оболочки, в сочетании с распространенной в *nix-сообществе техникой применения команд операционной системы. К сожалению, многие встраиваемые устройства, используемые как в корпоративных сетях, так и в домашних системах, потенциально уязвимы для атаки ShellShock. Усугубляет дело тот факт, что системы на таких устройствах крайне редко обновляются и часто содержат устаревшие версии ОС и системных компонентов. Пользователям смартфонов, планшетов и ноутбуков под управлением Linux и OS X не рекомендуется подключаться к незнакомым точкам беспроводного доступа до установки обновления безопасности», - отметил Сергей Гордейчик, заместитель генерального директора Positive Technologies.
Встроенные механизмы системы защиты приложений Positive Technologies Application Firewall, даже в базовой ее конфигурации, позволяют выявлять и блокировать атаку ShellShock. Клиенты сервиса Advanced Border Control получат оперативные уведомления об выявленных недочетах.
Подробнее об уязвимости можно узнать по этой ссылке.
КомментироватьПодробнее на iXBT
Предыдущие новости
Cansonic Sky - мультимедийное устройство для продвинутых автомобилистов
Компания Cansonic Russia представила мультимедийное устройство Cansonic Sky, объединяющее в себе не только автомобильный видеорегистратор на базе ОС Android с качеством записи Full HD, но и проигрыватель аудио- и видеофайлов, GPS-навигатор, функции Bluetooth/HandsFree и Wi-Fi, а также систему видеопарковки. Cansonic Sky использует матрицу WDR (wide dynamic range) с...
Casio Exilim EX-TR50: дорогой цифрокомпакт для любителей селфи
Японская компания Casio анонсировала компактную цифровую камеру Exilim EX-TR50, предназначенную для любителей селфи. Фотографировать самих себя пользователям поможет необычная конструкция корпуса и специальное программное обеспечение. Модель Casio Exilim EX-TR50 оборудована высокочувствительным к свету сенсором формата 1/1,7 дюйма и широкоугольным объективом с ЭФР 21 мм,...
Электронные табло появятся через две недели в московском метро
Вся информация о ситуации в подземке будет отображаться на экранах устанавливаемых устройств. В классической схеме метрополитена, изображенной на электронных табло и мониторах, будут представлены сведения обо всех событиях, изменениях или нештатных...
Facebook будет разрабатывать открытое программное обеспечение
Компания Facebook анонсировала инициативу по разработке программного обеспечения TODO. Проект будет открыт для участия в нём любых других компаний. Создаваемое программное обеспечение будет предназначаться для совместной работы над проектами и обмена технологическими...