- В обновлённом Telegram появились подарки,... (563)
- Вышел «голографический» 120-мм вентилятор... (533)
- Когда-то Стив Джобс приказал уничтожить все... (506)
- Новые процессоры Intel Core Ultra 200 в ряде... (444)
- Этот процессор для ИИ потребляет менее 1... (494)
- Через пять лет на рынке появятся... (492)
- Intel объявила проблему нестабильности... (515)
- iPhone 16 Pro Max и Galaxy S24 Ultra... (472)
- Эксперты предупредили о необходимости... (452)
- Флагманские смартфоны в будущем опять... (454)
- Китайская космическая станция «Тяньгун»... (481)
- 7 октября Blue Origin представит второй... (434)
- УАЗ идет по пути Volkswagen, Jeep и Mini:... (355)
- Чёрных дыр в ранней Вселенной оказалось... (238)
- В России появился новый кроссовер Hyundai.... (236)
- Как устроен один из самых удачных... (287)
Уязвимость ShellShock позволяет атаковать множество устройств: от OS X до промышленных серверов
Дата: 2014-09-25 17:34
Эксперты Positive Technologies предупреждают о новой уязвимости ShellShock (CVE-2014-6271), использование которой позволяет выполнить произвольный код. Уязвимость затронула не только интернет-серверы и рабочие станции, но и устройства, которые мы используем в повседневной жизни - смартфоны и планшеты, домашние маршрутизаторы, ноутбуки.
Уязвимость присутствует в одном из фундаментальных компонентов Linux-систем, командной оболочке bash. Механизм обработки экспортированных функций позволяет злоумышленнику удаленно запускать произвольные команды операционной системы, в случае если он имеет возможность влиять на переменные окружения системы. Подобная ситуация часто складывается в веб-приложениях при использовании интерфейса CGI (например, сервер Apache с использованием mod_cgi или mod_cgi). Также уязвимы распространенные технологии онлайн-разработки PHP и Python при использовании вызовов system/exec или os.system/os.popen, соответственно. Примером уязвимого приложения является распространенная панель управления хостингом cPanel. Существуют и другие методы эксплуатации, связанные с применением механизма ограниченного доступа ForceCommand в OpenSSH, реализуемого в таких системах, как Git и Subversion.
Есть информация, что ряд исследователей безопасности, в частности @ErrataRob, уже активно сканируют глобальную сеть в поисках уязвимых серверов. Эксперты Positive Technologies рекомендуют срочно установить обновление безопасности на все общедоступные серверы GNU/Linux, поскольку по негативным последствиям данная уязвимость может быть сопоставима с нашумевшей ошибкой в OpenSSL - HeartBleed. В зоне риска системы удаленного управления серверами и промышленными системами. Зачастую они разработаны с широким использованием shell-технологий и при этом крайне редко обновляются. Другие потенциальные кандидаты на взлом с использованием новой уязвимости - точки доступа, маршрутизаторы, встраиваемые устройства, принтеры и вообще любые устройства, связанные «интернетом вещей».
Более того, потенциально атака может быть произведена и на пользовательские устройства, такие как смартфоны и планшеты под управлением Android: достаточно просто подключится к управляемой злоумышленником точке беспроводного доступа. Такие атаки наиболее опасны в местах массового скопления людей, активно использующих Wi-Fi, - в кафе, в метро, в аэропорту.
«Эта уязвимость примечательна тем, что использует вполне "легальный" механизм командной оболочки, в сочетании с распространенной в *nix-сообществе техникой применения команд операционной системы. К сожалению, многие встраиваемые устройства, используемые как в корпоративных сетях, так и в домашних системах, потенциально уязвимы для атаки ShellShock. Усугубляет дело тот факт, что системы на таких устройствах крайне редко обновляются и часто содержат устаревшие версии ОС и системных компонентов. Пользователям смартфонов, планшетов и ноутбуков под управлением Linux и OS X не рекомендуется подключаться к незнакомым точкам беспроводного доступа до установки обновления безопасности», - отметил Сергей Гордейчик, заместитель генерального директора Positive Technologies.
Встроенные механизмы системы защиты приложений Positive Technologies Application Firewall, даже в базовой ее конфигурации, позволяют выявлять и блокировать атаку ShellShock. Клиенты сервиса Advanced Border Control получат оперативные уведомления об выявленных недочетах.
Подробнее об уязвимости можно узнать по этой ссылке.
КомментироватьПодробнее на iXBT
Предыдущие новости
Cansonic Sky - мультимедийное устройство для продвинутых автомобилистов
Компания Cansonic Russia представила мультимедийное устройство Cansonic Sky, объединяющее в себе не только автомобильный видеорегистратор на базе ОС Android с качеством записи Full HD, но и проигрыватель аудио- и видеофайлов, GPS-навигатор, функции Bluetooth/HandsFree и Wi-Fi, а также систему видеопарковки. Cansonic Sky использует матрицу WDR (wide dynamic range) с...
Casio Exilim EX-TR50: дорогой цифрокомпакт для любителей селфи
Японская компания Casio анонсировала компактную цифровую камеру Exilim EX-TR50, предназначенную для любителей селфи. Фотографировать самих себя пользователям поможет необычная конструкция корпуса и специальное программное обеспечение. Модель Casio Exilim EX-TR50 оборудована высокочувствительным к свету сенсором формата 1/1,7 дюйма и широкоугольным объективом с ЭФР 21 мм,...
Электронные табло появятся через две недели в московском метро
Вся информация о ситуации в подземке будет отображаться на экранах устанавливаемых устройств. В классической схеме метрополитена, изображенной на электронных табло и мониторах, будут представлены сведения обо всех событиях, изменениях или нештатных...
Facebook будет разрабатывать открытое программное обеспечение
Компания Facebook анонсировала инициативу по разработке программного обеспечения TODO. Проект будет открыт для участия в нём любых других компаний. Создаваемое программное обеспечение будет предназначаться для совместной работы над проектами и обмена технологическими...