Инструмент с открытым исходным кодом может смягчить риски, связанные с атакой на оболочку Bash.
Уязвимость Shellshock в Bash, о которой впервые было сообщено на прошлой неделе, с тех пор стала топливом для тысяч атак против веб-серверов по всему миру. Хотя Shellshock — это критическая уязвимость, есть множество способов, которыми организации могут защитить себя, как с помощью патчей Bash, так и с помощью программного обеспечения по безопасности, которое ограничивает риск главной уязвимости.
«Уязвимость в Bash позволяет атакующим выполнить произвольные команды на любой системе», объясняет Карл Сиглер (Karl Sigler), менеджер SpiderLabs Threat Intelligence в Trustwave.
Как у shell, главная цель Bash — это выполнять команды, но уязвимость Shellshock нарушает эту функциональность. Риск высок, потому что много различных фоновых сервисов, включая веб-сервера, связаны с Bash.
Shellshock взламывает
Веб-сервера, выполняющие роль ловушек в сети Траствэйв (Trustwave), впервые начали видить атаки, связанные с Shellshock в начале 25 сентября. Траствэйв использует ловушки, обычно открытые веб-сервера с ModSecurity WAF (web application firewall — файервол для веб-приложений), который мониторит Интернет на наличие атак.
«Используя наши сигнатуры ModSecurity, мы были способны проследить кучу атак эксплойтов на наших ловушках», сказал Сиглер. «Некоторые атакующие просто пробуют смотреть, подвержен ли сервер уязвимости, а некоторые действительно сбрасывают эксплойты».
Один из эксплойтов Shellshock, которые Trustwave видела, пытался загрузить и установить кастомизированную версию открытого nginx веб-сервера. У атакующих появился бы их собственный веб-сервер поверх уязвимого веб-сервера для выполнения любых команд, которые они хотят.
В то время, как патчи для Shellshock сейчас доступны публично для всех систем Linux и Mac OS X, тоже самое справедливо и для кода, которые показывает пример реализации (proof-of-concept — PoC) для эксплуатации Shellshock. Доступность кода с примером реализации ведёт к увеличению атак и попыток Shellshock.
«Множество людей сейчас могут загрузить код с примером реализации, и сейчас это действительно простая атака», сказал Сиглер. «Большинство примеров кода реализации появились после выхода патча, и именно он обычно используется, когда мы видим попытки эксплойтов».
ModSecurity выявляет
Траствэйв спонсирует открытый проект файервола для веб-приложений ModSecurity и позиционирует его как ключевой инструмент в борьбе против Shellshock. Trustwave обеспечивает коммерчиские сигнатуры для своих клиентов, пользователей ModSecurity. Версия с открытым кодом также имеет свои собственные правила.
«Используете ли вы открытый код и только основной набор правил, или же вы используете платные услуги Trustwave, вы получите сигнатуры, которые будут определять и блокировать уязвимости Баш (Bash)», сказал Сиглер.
Даже сейчас, когда атаки на Bash увеличиваются, ключевая уязвимость — это попытка инжекта команды, которая является ключевой особенностью обнаружения во всей ModSecurity и WAF, объясняет Синлер.
«Попытка использовать инструменты командной строки на сервере — это обычно для атак эксплойтов, будь-то межсайтовый скриптинг, SQL инжект или Shellshock, и мы просто следим за этими командами в общем веб трафике», сказал Сиглер. «Если мы видим это, мы блокируем это, даже если мы не знаем какую именно веб уязвимость пытается использовать атака».