- Elecom анонсировала кабели USB4 2.0 —... (327)
- Минцифры опубликовало правила регистрации... (525)
- Смарт-часы Huawei Watch D2 с функцией... (3465)
- Arctic подтвердила совместимость своих... (482)
- Одни из самых лучших процессоров Intel за... (448)
- Telegram объяснил недавние сбои событиями на... (580)
- Rivian катится к закату: в 2024 году... (556)
- Надёжный инсайдер: ремейк Assassin’s Creed... (584)
- Новая статья: Selfloss — отпусти, но не... (534)
- Более 40 % игроков Baldur’s Gate 3... (544)
- GeForce RTX 4090 уже снята с производства, а... (514)
- Вот такой бы прирост для всех Ryzen 9000 во... (579)
- В Белоруссии начали продавать полноприводный... (542)
- Квантовая механика помогла придумать... (567)
- Авторы вдохновлённой Castlevania и Hollow... (607)
- YouTube увеличит максимальную... (579)
Уязвимость ShellShock позволяет атаковать множество устройств: от OS X до промышленных серверов
Дата: 2014-09-25 17:34
Эксперты Positive Technologies предупреждают о новой уязвимости ShellShock (CVE-2014-6271), использование которой позволяет выполнить произвольный код. Уязвимость затронула не только интернет-серверы и рабочие станции, но и устройства, которые мы используем в повседневной жизни - смартфоны и планшеты, домашние маршрутизаторы, ноутбуки.
Уязвимость присутствует в одном из фундаментальных компонентов Linux-систем, командной оболочке bash. Механизм обработки экспортированных функций позволяет злоумышленнику удаленно запускать произвольные команды операционной системы, в случае если он имеет возможность влиять на переменные окружения системы. Подобная ситуация часто складывается в веб-приложениях при использовании интерфейса CGI (например, сервер Apache с использованием mod_cgi или mod_cgi). Также уязвимы распространенные технологии онлайн-разработки PHP и Python при использовании вызовов system/exec или os.system/os.popen, соответственно. Примером уязвимого приложения является распространенная панель управления хостингом cPanel. Существуют и другие методы эксплуатации, связанные с применением механизма ограниченного доступа ForceCommand в OpenSSH, реализуемого в таких системах, как Git и Subversion.
Есть информация, что ряд исследователей безопасности, в частности @ErrataRob, уже активно сканируют глобальную сеть в поисках уязвимых серверов. Эксперты Positive Technologies рекомендуют срочно установить обновление безопасности на все общедоступные серверы GNU/Linux, поскольку по негативным последствиям данная уязвимость может быть сопоставима с нашумевшей ошибкой в OpenSSL - HeartBleed. В зоне риска системы удаленного управления серверами и промышленными системами. Зачастую они разработаны с широким использованием shell-технологий и при этом крайне редко обновляются. Другие потенциальные кандидаты на взлом с использованием новой уязвимости - точки доступа, маршрутизаторы, встраиваемые устройства, принтеры и вообще любые устройства, связанные «интернетом вещей».
Более того, потенциально атака может быть произведена и на пользовательские устройства, такие как смартфоны и планшеты под управлением Android: достаточно просто подключится к управляемой злоумышленником точке беспроводного доступа. Такие атаки наиболее опасны в местах массового скопления людей, активно использующих Wi-Fi, - в кафе, в метро, в аэропорту.
«Эта уязвимость примечательна тем, что использует вполне "легальный" механизм командной оболочки, в сочетании с распространенной в *nix-сообществе техникой применения команд операционной системы. К сожалению, многие встраиваемые устройства, используемые как в корпоративных сетях, так и в домашних системах, потенциально уязвимы для атаки ShellShock. Усугубляет дело тот факт, что системы на таких устройствах крайне редко обновляются и часто содержат устаревшие версии ОС и системных компонентов. Пользователям смартфонов, планшетов и ноутбуков под управлением Linux и OS X не рекомендуется подключаться к незнакомым точкам беспроводного доступа до установки обновления безопасности», - отметил Сергей Гордейчик, заместитель генерального директора Positive Technologies.
Встроенные механизмы системы защиты приложений Positive Technologies Application Firewall, даже в базовой ее конфигурации, позволяют выявлять и блокировать атаку ShellShock. Клиенты сервиса Advanced Border Control получат оперативные уведомления об выявленных недочетах.
Подробнее об уязвимости можно узнать по этой ссылке.
КомментироватьПодробнее на iXBT
Предыдущие новости
Cansonic Sky - мультимедийное устройство для продвинутых автомобилистов
Компания Cansonic Russia представила мультимедийное устройство Cansonic Sky, объединяющее в себе не только автомобильный видеорегистратор на базе ОС Android с качеством записи Full HD, но и проигрыватель аудио- и видеофайлов, GPS-навигатор, функции Bluetooth/HandsFree и Wi-Fi, а также систему видеопарковки. Cansonic Sky использует матрицу WDR (wide dynamic range) с...
Casio Exilim EX-TR50: дорогой цифрокомпакт для любителей селфи
Японская компания Casio анонсировала компактную цифровую камеру Exilim EX-TR50, предназначенную для любителей селфи. Фотографировать самих себя пользователям поможет необычная конструкция корпуса и специальное программное обеспечение. Модель Casio Exilim EX-TR50 оборудована высокочувствительным к свету сенсором формата 1/1,7 дюйма и широкоугольным объективом с ЭФР 21 мм,...
Электронные табло появятся через две недели в московском метро
Вся информация о ситуации в подземке будет отображаться на экранах устанавливаемых устройств. В классической схеме метрополитена, изображенной на электронных табло и мониторах, будут представлены сведения обо всех событиях, изменениях или нештатных...
Facebook будет разрабатывать открытое программное обеспечение
Компания Facebook анонсировала инициативу по разработке программного обеспечения TODO. Проект будет открыт для участия в нём любых других компаний. Создаваемое программное обеспечение будет предназначаться для совместной работы над проектами и обмена технологическими...