- Россияне меняют свои Toyota на внедорожники... (214)
- Linux-вирус Perfctl заразил с 2021 года... (221)
- Второй полёт ракеты ULA Vulcan сопровождался... (181)
- Через несколько лет на рынке появятся HDD... (193)
- Samsung Galaxy S24 FE получил первое... (206)
- Вот бы RTX 5090 такую память. Micron... (228)
- Кабина от Mercedes Axor, мотор Mercedes,... (176)
- Snapdragon 8 Gen 4 придётся тяжело.... (211)
- Apple не меняет, Samsung не меняет, вот и... (234)
- Видео Shorts в YouTube станут втрое длиннее.... (245)
- Модем 5G, над которым так долго работает... (229)
- Придётся поверить Intel на слово. Компания... (228)
- Blue Origin собрала вторую суборбитальную... (210)
- Началось открытое бета-тестирование браузера... (173)
- Китайские астрономы помогли совершить прорыв... (234)
- Новая ракета Vulcan Centaur компании ULA... (232)
Уязвимость ShellShock позволяет атаковать множество устройств: от OS X до промышленных серверов
Дата: 2014-09-25 17:34
Эксперты Positive Technologies предупреждают о новой уязвимости ShellShock (CVE-2014-6271), использование которой позволяет выполнить произвольный код. Уязвимость затронула не только интернет-серверы и рабочие станции, но и устройства, которые мы используем в повседневной жизни - смартфоны и планшеты, домашние маршрутизаторы, ноутбуки.
Уязвимость присутствует в одном из фундаментальных компонентов Linux-систем, командной оболочке bash. Механизм обработки экспортированных функций позволяет злоумышленнику удаленно запускать произвольные команды операционной системы, в случае если он имеет возможность влиять на переменные окружения системы. Подобная ситуация часто складывается в веб-приложениях при использовании интерфейса CGI (например, сервер Apache с использованием mod_cgi или mod_cgi). Также уязвимы распространенные технологии онлайн-разработки PHP и Python при использовании вызовов system/exec или os.system/os.popen, соответственно. Примером уязвимого приложения является распространенная панель управления хостингом cPanel. Существуют и другие методы эксплуатации, связанные с применением механизма ограниченного доступа ForceCommand в OpenSSH, реализуемого в таких системах, как Git и Subversion.
Есть информация, что ряд исследователей безопасности, в частности @ErrataRob, уже активно сканируют глобальную сеть в поисках уязвимых серверов. Эксперты Positive Technologies рекомендуют срочно установить обновление безопасности на все общедоступные серверы GNU/Linux, поскольку по негативным последствиям данная уязвимость может быть сопоставима с нашумевшей ошибкой в OpenSSL - HeartBleed. В зоне риска системы удаленного управления серверами и промышленными системами. Зачастую они разработаны с широким использованием shell-технологий и при этом крайне редко обновляются. Другие потенциальные кандидаты на взлом с использованием новой уязвимости - точки доступа, маршрутизаторы, встраиваемые устройства, принтеры и вообще любые устройства, связанные «интернетом вещей».
Более того, потенциально атака может быть произведена и на пользовательские устройства, такие как смартфоны и планшеты под управлением Android: достаточно просто подключится к управляемой злоумышленником точке беспроводного доступа. Такие атаки наиболее опасны в местах массового скопления людей, активно использующих Wi-Fi, - в кафе, в метро, в аэропорту.
«Эта уязвимость примечательна тем, что использует вполне "легальный" механизм командной оболочки, в сочетании с распространенной в *nix-сообществе техникой применения команд операционной системы. К сожалению, многие встраиваемые устройства, используемые как в корпоративных сетях, так и в домашних системах, потенциально уязвимы для атаки ShellShock. Усугубляет дело тот факт, что системы на таких устройствах крайне редко обновляются и часто содержат устаревшие версии ОС и системных компонентов. Пользователям смартфонов, планшетов и ноутбуков под управлением Linux и OS X не рекомендуется подключаться к незнакомым точкам беспроводного доступа до установки обновления безопасности», - отметил Сергей Гордейчик, заместитель генерального директора Positive Technologies.
Встроенные механизмы системы защиты приложений Positive Technologies Application Firewall, даже в базовой ее конфигурации, позволяют выявлять и блокировать атаку ShellShock. Клиенты сервиса Advanced Border Control получат оперативные уведомления об выявленных недочетах.
Подробнее об уязвимости можно узнать по этой ссылке.
КомментироватьПодробнее на iXBT
Предыдущие новости
Cansonic Sky - мультимедийное устройство для продвинутых автомобилистов
Компания Cansonic Russia представила мультимедийное устройство Cansonic Sky, объединяющее в себе не только автомобильный видеорегистратор на базе ОС Android с качеством записи Full HD, но и проигрыватель аудио- и видеофайлов, GPS-навигатор, функции Bluetooth/HandsFree и Wi-Fi, а также систему видеопарковки. Cansonic Sky использует матрицу WDR (wide dynamic range) с...
Casio Exilim EX-TR50: дорогой цифрокомпакт для любителей селфи
Японская компания Casio анонсировала компактную цифровую камеру Exilim EX-TR50, предназначенную для любителей селфи. Фотографировать самих себя пользователям поможет необычная конструкция корпуса и специальное программное обеспечение. Модель Casio Exilim EX-TR50 оборудована высокочувствительным к свету сенсором формата 1/1,7 дюйма и широкоугольным объективом с ЭФР 21 мм,...
Электронные табло появятся через две недели в московском метро
Вся информация о ситуации в подземке будет отображаться на экранах устанавливаемых устройств. В классической схеме метрополитена, изображенной на электронных табло и мониторах, будут представлены сведения обо всех событиях, изменениях или нештатных...
Facebook будет разрабатывать открытое программное обеспечение
Компания Facebook анонсировала инициативу по разработке программного обеспечения TODO. Проект будет открыт для участия в нём любых других компаний. Создаваемое программное обеспечение будет предназначаться для совместной работы над проектами и обмена технологическими...