Инструмент с открытым исходным кодом может смягчить риски, связанные с атакой на оболочку Bash.

Уязвимость Shellshock в Bash, о которой впервые было сообщено на прошлой неделе, с тех пор стала топливом для тысяч атак против веб-серверов по всему миру. Хотя Shellshock — это критическая уязвимость, есть множество способов, которыми организации могут защитить себя, как с помощью патчей Bash, так и с помощью программного обеспечения по безопасности, которое ограничивает риск главной уязвимости.

«Уязвимость в Bash позволяет атакующим выполнить произвольные команды на любой системе», объясняет Карл Сиглер (Karl Sigler), менеджер SpiderLabs Threat Intelligence в Trustwave.

Как у shell, главная цель Bash — это выполнять команды, но уязвимость Shellshock нарушает эту функциональность. Риск высок, потому что много различных фоновых сервисов, включая веб-сервера, связаны с Bash.

 

Shellshock взламывает

Веб-сервера, выполняющие роль ловушек в сети Траствэйв (Trustwave), впервые начали видить атаки, связанные с Shellshock в начале 25 сентября. Траствэйв использует ловушки, обычно открытые веб-сервера с ModSecurity WAF (web application firewall — файервол для веб-приложений), который мониторит Интернет на наличие атак.

«Используя наши сигнатуры ModSecurity, мы были способны проследить кучу атак эксплойтов на наших ловушках», сказал Сиглер. «Некоторые атакующие просто пробуют смотреть, подвержен ли сервер уязвимости, а некоторые действительно сбрасывают эксплойты».

Один из эксплойтов Shellshock, которые Trustwave видела, пытался загрузить и установить кастомизированную версию открытого nginx веб-сервера. У атакующих появился бы их собственный веб-сервер поверх уязвимого веб-сервера для выполнения любых команд, которые они хотят.

В то время, как патчи для Shellshock сейчас доступны публично для всех систем Linux и Mac OS X, тоже самое справедливо и для кода, которые показывает пример реализации (proof-of-concept — PoC) для эксплуатации Shellshock. Доступность кода с примером реализации ведёт к увеличению атак и попыток Shellshock.

«Множество людей сейчас могут загрузить код с примером реализации, и сейчас это действительно простая атака», сказал Сиглер. «Большинство примеров кода реализации появились после выхода патча, и именно он обычно используется, когда мы видим попытки эксплойтов».

 

ModSecurity выявляет

Траствэйв спонсирует открытый проект файервола для веб-приложений ModSecurity и позиционирует его как ключевой инструмент в борьбе против Shellshock. Trustwave обеспечивает коммерчиские сигнатуры для своих клиентов, пользователей ModSecurity. Версия с открытым кодом также имеет свои собственные правила.

«Используете ли вы открытый код и только основной набор правил, или же вы используете платные услуги Trustwave, вы получите сигнатуры, которые будут определять и блокировать уязвимости Баш (Bash)», сказал Сиглер.

Даже сейчас, когда атаки на Bash увеличиваются, ключевая уязвимость — это попытка инжекта команды, которая является ключевой особенностью обнаружения во всей ModSecurity и WAF, объясняет Синлер.

«Попытка использовать инструменты командной строки на сервере — это обычно для атак эксплойтов, будь-то межсайтовый скриптинг, SQL инжект или Shellshock, и мы просто следим за этими командами в общем веб трафике», сказал Сиглер. «Если мы видим это, мы блокируем это, даже если мы не знаем какую именно веб уязвимость пытается использовать атака».

Похожие темы

Apache 2.4 VC14: новый компилятор и другие изменен... Apache Lounge компилирует для нас, точнее для операционной системы Windows, актуальные бинарники веб-сервера Apache. Делают они это уже более десяти...
Как установить ModSecurity (mod_security) на Apach... Два нуля Фоторобот со спины Идём Что земля Мне шесть футов глубины Со льдом (Секвойя & ОКовцур - "Хамелеон") ...
Как усилить веб-сервер Apache с помощью mod_securi... Если вас интересует установка mod_security на Apache под Windows, то обратитесь к статье "Как установить ModSecurity (mod_security) н...
Описание модулей Apache (часть 1)... Общая информация о модулях веб-сервера Apache Модули веб-сервера Apache (или как их ещё называют Dynamic Shared Object (DSO), т. е. динамич...
Опасные темы оформления WordPress... В процессе написания урока по сканерам уязвимостей для WordPress я обнаружил новый для меня факт — сканер изучает также и темы. Т.е. темы Word...