Choć minęło pół roku od kiedy do publicznej wiadomości trafiła informacja o wykryciu poważnej luki w linuksowym interpreterze poleceń, to zagrożenie, które stworzyła, nadal nie zostało wyeliminowane.

Przez lata systemy spod znaku Linuksa cieszyły się opinią bezpieczniejszych niż systemy Windows. Do czasu, aż we wrześniu 2014 r. wykryto lukę w bashu (interpreterze poleceń), którą szybko nazwano Shellshock. Błędy w bashu bardzo trudno odnaleźć, ponieważ są zlokalizowane na bardzo niskim poziomie systemu operacyjnego, w obszarach obecnych w kodzie źródłowym od 25 lat. Nie są sprawdzane szczegółowo, ponieważ do dawna działają stabilnie. Rosnąca popularność systemów linuksowych spowodowała, że wykryto tego rodzaju lukę. Skala kryzysu, który wywołał Shellshock, zaskoczyła jednak wszystkich. Jakie wnioski możemy wyciągnąć, aby zredukować ryzyko wydarzenia się tego ponownie?

500 mln systemów podatnych na lukę

Problem Shellshock dotyczy linuksowego interpretera poleceń tekstowych wydawanych serwerom przez administratorów. Wykryta luka umożliwia więc włamywaczowi przesyłanie własnych poleceń do serwera, czy innego podatnego urządzenia, a następnie przejęcie nad nim kontroli. Zanim lukę wykryto i podano do publicznej wiadomości, doszło wcześniej do kilku ataków, które ją wykorzystują. Włamywacze użyli następnie przejęte maszyny do rozsyłania spamu i przeprowadzania ataków DDoS.

Mimo, że szybko udostępniono łatkę eliminującą Shellshocka, problem pozostał. Szacuje się, że wciąż jest 500 mln systemów, które pozostały podatne, ponieważ nikt nie uświadomił sobie jeszcze faktu, że należy zaktualizować w nich oprogramowanie lub nie znalazł sposobu, jak to zrobić. W grudniu 2014 r. wykryto wirusa, który infekował macierze Qnap poprzez obecną w nich lukę Shellshock. Zainfekowane macierze – z wykorzystaniem zawartych w wirusie skryptów – automatycznie poszukiwały kolejnych podatnych urządzeń.

Problem dotyczy również serwerów samozarządzających, w których nie skonfigurowano poprawnie automatycznego pobierania aktualizacji. Jest też szereg rozwiązań korporacyjnych i wbudowanych urządzeń działających w oparciu o Linuksa, które zawierają lukę Shellshock. Te produkty również mogą stać się celem ataków, jeśli znajdujący się w nich system operacyjny nie zostanie zaktualizowany.

Druga fala ataków

Zaraz po opublikowaniu informacji o luce Shellshock nastąpił gwałtowny wzrost ataków na podatne urządzenia. Od początku lutego 2015 r. badacze obserwują ich nawrót, wraz z ponowną eskalacją botnetu budowanego z użyciem oprogramowania Mayhem. Jest to szkodliwy, zaawansowany kod, który wykryto na początku 2015 r. W komputerze instaluje się on, wykorzystując specjalny skrypt PHP umieszczany na zaatakowanych serwerach FTP.

Główny komponent Mayhem to zbiór plików w formacie ELF (Executable and Linkable Format). Po zakończeniu instalacji szkodnik zaczyna pobierać dodatkowe komponenty, szyfruje je i zapisuje w ukrytej postaci w systemie plików. Te komponenty służą do realizacji różnych zadań, np. atakowania stron internetowych. Według badaczy z rosyjskiej firmy Yandex, która dokładnie przeanalizowała działanie Mayhem, w 2014 r. pod kontrolą tego botnetu było 1400 zainfekowanych serwerów. Z kolei eksperci z MMD (Malware Must Die) na początku lutego poinformowali, że autorzy Mayhem wyposażyli go w nowe możliwości – dodali exploit wykorzystujący lukę Shellshock. Wystarczyło zmodyfikować jeden z dodatkowych komponentów, które pobiera on po instalacji w zaatakowanym urządzeniu.

Ataki, w których ten exploit jest używany, były kierowane na serwery WWW obsługujące skrypty CGI. Według badaczy z MMD atakujący najpierw testowali, czy dany serwer zawiera lukę Shellshock, a następnie z użyciem skryptu Perla próbowali ją wykorzystać do włamania. Skrypt zawiera pliki binarne ELF z kodem Mayhem w wersjach 32- i 64-bitowych.

Usuwanie luki

Nawet jeśli użytkownik zainstalował w systemach łatkę dla Shellshocka, nie wystarczy to, aby zapomnieć o problemie. Przede wszystkim niektóre opublikowane łatki okazały się nie w pełni eliminować lukę. Pierwsze aktualizacje nie zostały dokładne przetestowane na różnych urządzeniach. O tym, że pierwsze łatki zawierają błędy informował, m.in. CERT. Z tego względu, a także pamiętając, że włamywacze będą próbować znaleźć obejście, Shellshocka należy traktować jako bieżący problem. Trzeba też pamiętać, że interpreter Bash jest składnikiem systemów MacOS, więc one również mogą być zagrożone.

Aby mieć pewność, że problem został wyeliminowany, należy regularnie skanować urządzenia pracujące pod kontrolą Linuksa, Uniksa i MacOS.

Podatności sieciowe w Internecie Rzeczy

Postępująca realizacja koncepcji Internetu Rzeczy doprowadziła do powstania wielu nowych podatności, które umożliwiają włamywaczom działanie na dużą skalę i dają dostęp do różnego rodzaju urządzeń, nie tylko komputerów. To oznacza konieczność zabezpieczania wielu nowych urządzeń, począwszy od domowych sprzętów codziennego użytku, na systemach publicznego transport czy oświetlenia ulic skończywszy. W tej sytuacji podatności, takiej jak Shellshock muszą być jak najszybciej wykrywane i błyskawicznie eliminowane. Ważne, aby informacje o takich problemach dystrybuować nie tylko lokalnie, ale dążyć do wdrożenia powszechnych rozwiązań, ponieważ bezpieczeństwo jednostek w dużym stopniu zależy od bezpieczeństwa wszystkich. Shellshock raczej nie jest ostatnim problemem tego typu, więc skuteczne zarządzanie nim jest nie tylko ważne z punktu widzenia bieżącego bezpieczeństwa. Zdobyte doświadczenie z pewnością przyda się następnym razem.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn