Спонсор публикаций BlackDiver

Обучение тестированию на проникновение  - Обучению тестированию на проникновение от BlackDiver. Базовый курс

Возможно, вас также заинтересует статья "Проверяем свой хостинг на Shellshock уязвимость Bash и закрываем уязвимость Shellshock Bash на Linux Mint (Ubuntu)".

 

US-CERT предупреждает о критической уязвимости в командном процессоре Баш (bash). Перед брешью, раскрытой инженером программного обеспечения Стефаном Чазеласом (Stephane Chazelas), потенциально уязвимы все основанные на Unix операционные системы, включая Linux и Mac OS X.

«Использование этой уязвимости может позволить удалённому атакующему выполнить произвольный код на уязвимой системе» сказано в предупреждающем сообщении US-CERT.

«Это, без сомнений, гораздо больше чем Хартблид (Heartbleed); этот баг невероятно просто использовать (эксплуатировать), уязвимые программы более распространены и последствия будут более серьёзными», сказал по email Брэндан Эдвордс (Brandon Edwardsа), вице президент СилверСкай Лэбс (SilverSky Labs). «Ожидайте хаос и беспредел, так как плохие парни сейчас спешат воспользоваться им до того, как он будет исправлен».

Эксперт по безопасности Грахам Клули (Graham Cluley) предупреждает, что эта брешь может быть использована для создания червя, который воспользуется преимуществами совместимости Bash. «Если такой червь возникнет, то это сделает, без вопросов, этот баг в Bash более серьёзной угрозой, чем баг HeartBleed в OpenSSL, который повлиял на многие системы в начале этого года», напислал Клули в сообщении в блоге.

И согласно директору Элиент Волт Лэбс (AlienVault Labs) Дэйму Бласко (Jaime Blasco), это уже происходит.

AlienVault запустили приманку за последние несколько дней, которая эмулируют уязвимую систему. «Мы нашли два червя, которые активно используют уязвимость и устанавливают кусок звловредного кода в систему», сказал Бласко по почте. «Это зловредное программное обеспечение превращает систему в бота, которая соединяется с ботнетом (C&C server) где атакующие могут рассылать команды, и мы видем, главная цель ботов — это выполнять DoS-атаку».


Спонсор публикаций Life-Hack [Жизнь-Взлом]

Life-Hack Уникальный, авторский и единственный в своём роде. Рассказывает самые свежие новости из кибер мира. Познакомит вас с кучей полезного софта и расскажет про darknet

«Проблема с Башем в том, что он используется везде». Даниэль Инджевалдсон (Daniel Ingevaldson) из Easy Solutions CTO провёл в своём сообщении в блоге анализ этой дыры. «В основанных на Linux системах, Bash — это шелл по умолчанию и каждый раз, когда веб процессу нужно обратиться к шелл с вводом, запуском команды (такими как ping или sed или grep и т. д.), он вызывает Bash».

«Каждому следует внимательно изучить логи — этот эксплойт шумный и легко заметный — и пропатчить так быстро, как это только возможно». Инджевалдсон добавляет, «Также учитывая риск, что патчи могут быть неэффективными, организациям следует проводить мониторинг, чтобы быть уверенными, что их устройства не используются для фишинга или других атак».

Старший исследователь Джером Сегура (Jerome Segura) из Малвэабайтс Лэбс (Malwarebytes Labs) также сказал, что это займёт некоторое время, чтобы убедиться, что все уязвимые системы пропатчены. «Пока будут пропатчены все затронутые системы, администраторам предстоят долгие смены, чтобы пройтись по каждому отдельному серверу, роутеру и другим устройствам и оборудованию, что используют оболочку Bash», сказал он.

Гораздо важнее, что группа устройств, потенциально уязвимых, простирается далеко за пределы персональных компьютеров и серверов.

«Я подозреваю, что многие устройства из Интернета вещей (Internet of Things или Internet of Everything), которые были выпущены, ведут свои корни из Linux. Вице президент по архитектуре продуктов из Осентифай (Authentify) Алан Дундас (Alan Dundas) сказал по почте: «Как маленький CPU в вашем термостате будет противостоять зловредному коду, залитому через дыру в Bash от чего угодно, что подключено к нему? Вероятно, в нём не заложена такая функциональность».

«В этом и заключается фатальная ошибка в подключении множества простых устройств в сложную сеть, без мыслей о том, что что-то может пойти не так», добавил Дундас.


Генеральный партнер codeby Genesis Hackspace

Genesis HS  - физическое место, где собираются увлеченные техникой, IT, электроникой, роботами и физикой люди.

Похожие темы

Развернутое сканирование c Metasploit... Перейти к содержанию полного руководства пользователя Metasploit на русском языке. Как работает развернутое сканирование Порты в развернутом с...
Установка MongoDB на CentOS (VPS) Самой потрясающей возможностью виртуального частного сервера (VPS), кроме повышенных ресурсов по сравнению с обычным виртуальным хостингом, является...
Установка Adobe Photoshop CS6 на Linux (очень прос... Установить Adobe Photoshop CS6 на Linux стало очень легко. Для этого нужен только PlayOnLinux. Мы об этом уже сообщали в недавних новостях. Эта подро...
Установка и работа Internet Explorer на Linux... Internet Explorer при установке в Wine работает нестабильно и часто вылетает. Поэтому эта проблема является нерешённой и постоянно ищутся пути её ре...
Как установить NetBeans и Java на Linux... Казалось бы, что здесь обсуждать? Открыть менеджер программ и установить. Но в менеджере программ, на момент написания, версия 7.0.1, а официально д...