- Спрос на гибриды и электромобили вырос... (546)
- Популярный Geely Emgrand превратится в... (582)
- Машины со Snapdragon получили поддержку... (452)
- Огромные пошлины 100% на новые китайские... (513)
- Разгон до 300 км/ч за 15,6 с. Mercedes-AMG... (535)
- «Автомат», проверенный мотор и надёжность... (538)
- Tesla смогла нарастить объёмы поставок... (505)
- Google упрощает поиск важной информации в... (588)
- OpenAI собрала с инвесторов $6,6 млрд,... (1998)
- OpenAI договорилась о привлечении $6,6 млрд,... (5132)
- Microsoft будет расследовать, что мешает... (560)
- Microsoft заблокировала установку Windows 11... (717)
- Cloudflare отразила рекордную DDoS-атаку... (505)
- Новая статья: Обзор HUAWEI MatePad Pro 12.2”... (945)
- В России начались продажи складных... (860)
- Режиссёр Baldur’s Gate 3 намекнул, когда... (878)
Уязвимость ShellShock позволяет атаковать множество устройств: от OS X до промышленных серверов
Дата: 2014-09-25 17:34
Эксперты Positive Technologies предупреждают о новой уязвимости ShellShock (CVE-2014-6271), использование которой позволяет выполнить произвольный код. Уязвимость затронула не только интернет-серверы и рабочие станции, но и устройства, которые мы используем в повседневной жизни - смартфоны и планшеты, домашние маршрутизаторы, ноутбуки.
Уязвимость присутствует в одном из фундаментальных компонентов Linux-систем, командной оболочке bash. Механизм обработки экспортированных функций позволяет злоумышленнику удаленно запускать произвольные команды операционной системы, в случае если он имеет возможность влиять на переменные окружения системы. Подобная ситуация часто складывается в веб-приложениях при использовании интерфейса CGI (например, сервер Apache с использованием mod_cgi или mod_cgi). Также уязвимы распространенные технологии онлайн-разработки PHP и Python при использовании вызовов system/exec или os.system/os.popen, соответственно. Примером уязвимого приложения является распространенная панель управления хостингом cPanel. Существуют и другие методы эксплуатации, связанные с применением механизма ограниченного доступа ForceCommand в OpenSSH, реализуемого в таких системах, как Git и Subversion.
Есть информация, что ряд исследователей безопасности, в частности @ErrataRob, уже активно сканируют глобальную сеть в поисках уязвимых серверов. Эксперты Positive Technologies рекомендуют срочно установить обновление безопасности на все общедоступные серверы GNU/Linux, поскольку по негативным последствиям данная уязвимость может быть сопоставима с нашумевшей ошибкой в OpenSSL - HeartBleed. В зоне риска системы удаленного управления серверами и промышленными системами. Зачастую они разработаны с широким использованием shell-технологий и при этом крайне редко обновляются. Другие потенциальные кандидаты на взлом с использованием новой уязвимости - точки доступа, маршрутизаторы, встраиваемые устройства, принтеры и вообще любые устройства, связанные «интернетом вещей».
Более того, потенциально атака может быть произведена и на пользовательские устройства, такие как смартфоны и планшеты под управлением Android: достаточно просто подключится к управляемой злоумышленником точке беспроводного доступа. Такие атаки наиболее опасны в местах массового скопления людей, активно использующих Wi-Fi, - в кафе, в метро, в аэропорту.
«Эта уязвимость примечательна тем, что использует вполне "легальный" механизм командной оболочки, в сочетании с распространенной в *nix-сообществе техникой применения команд операционной системы. К сожалению, многие встраиваемые устройства, используемые как в корпоративных сетях, так и в домашних системах, потенциально уязвимы для атаки ShellShock. Усугубляет дело тот факт, что системы на таких устройствах крайне редко обновляются и часто содержат устаревшие версии ОС и системных компонентов. Пользователям смартфонов, планшетов и ноутбуков под управлением Linux и OS X не рекомендуется подключаться к незнакомым точкам беспроводного доступа до установки обновления безопасности», - отметил Сергей Гордейчик, заместитель генерального директора Positive Technologies.
Встроенные механизмы системы защиты приложений Positive Technologies Application Firewall, даже в базовой ее конфигурации, позволяют выявлять и блокировать атаку ShellShock. Клиенты сервиса Advanced Border Control получат оперативные уведомления об выявленных недочетах.
Подробнее об уязвимости можно узнать по этой ссылке.
КомментироватьПодробнее на iXBT
Предыдущие новости
Cansonic Sky - мультимедийное устройство для продвинутых автомобилистов
Компания Cansonic Russia представила мультимедийное устройство Cansonic Sky, объединяющее в себе не только автомобильный видеорегистратор на базе ОС Android с качеством записи Full HD, но и проигрыватель аудио- и видеофайлов, GPS-навигатор, функции Bluetooth/HandsFree и Wi-Fi, а также систему видеопарковки. Cansonic Sky использует матрицу WDR (wide dynamic range) с...
Casio Exilim EX-TR50: дорогой цифрокомпакт для любителей селфи
Японская компания Casio анонсировала компактную цифровую камеру Exilim EX-TR50, предназначенную для любителей селфи. Фотографировать самих себя пользователям поможет необычная конструкция корпуса и специальное программное обеспечение. Модель Casio Exilim EX-TR50 оборудована высокочувствительным к свету сенсором формата 1/1,7 дюйма и широкоугольным объективом с ЭФР 21 мм,...
Электронные табло появятся через две недели в московском метро
Вся информация о ситуации в подземке будет отображаться на экранах устанавливаемых устройств. В классической схеме метрополитена, изображенной на электронных табло и мониторах, будут представлены сведения обо всех событиях, изменениях или нештатных...
Facebook будет разрабатывать открытое программное обеспечение
Компания Facebook анонсировала инициативу по разработке программного обеспечения TODO. Проект будет открыт для участия в нём любых других компаний. Создаваемое программное обеспечение будет предназначаться для совместной работы над проектами и обмена технологическими...