Video: Create Undetectable Payloads for macOS Computers with Tokyoneon's Armor [Tutorial] (Nobyembre 2024)
Ang isang bug na natuklasan sa Bash, isang malawak na ginagamit na tagasalin ng command, ay naglalagay ng isang kritikal na panganib sa seguridad sa mga Unix at Linux system, sinabi ng mga eksperto sa seguridad. At baka ikaw ay matukso na bale-walain ang problema tulad ng pagiging isang isyu sa server, tandaan na ang Mac OS X ay gumagamit ng Bash. Maraming mga eksperto ang nagbabala na maaaring ito ay mas masahol kaysa sa Heartbleed.
Ang kahinaan ay naroroon sa karamihan ng mga bersyon ng Bash, mula sa bersyon 1.13 hanggang 4.3, ayon kay Stephane Chazelas, isang network ng Unix at Linux at administrator ng telecom sa Akamai, na unang nagpahayag ng bug. Ang Computer Emergency Response Team (CERT) sa Kagawaran ng Homeland Security ay nagbabala sa isang alerto na kung pinagsasamantalahan, ang kahinaan ay maaaring payagan ang isang malayong hacker na magsagawa ng malisyosong code sa isang apektadong sistema. Ang database ng kahinaan sa NIST ay na-rate ang bug 10 sa 10 sa mga tuntunin ng kalubhaan.
"Ang kahinaan na ito ay potensyal na isang napakalaking pakikitungo, " sabi ni Tod Beardsley, engineering manager sa Rapid7.
Ang kahinaan ay may kinalaman sa kung paano humahawak ang mga variable variable ng Bash. Kapag nagtatalaga ng isang function sa isang variable, ang anumang dagdag na code sa kahulugan ay isasagawa rin. Kaya ang dapat gawin ng isang umaatake ay kahit papaano ay magdagdag ng isang grupo ng mga utos sa kahulugan na ito - isang klasikong pag-atake ng code-injection - at magagawa nilang malayuan ang pag-hijack sa apektadong makina. Chazelas at iba pang mga mananaliksik na tumingin sa kapintasan ay nakumpirma na madali itong mapagsamantala kung ang code ay na-injected sa mga variable na pangkapaligiran, tulad ng tampok na ForceCommand sa OpenSSH sshd, ang mod_cgi at mod_cgid modules sa Apache HTTP Server, o mga script na nagtatakda ng kapaligiran para sa mga kliyente ng DHCP.
"Ang isang malaking bilang ng mga programa sa Linux at iba pang mga system ng UNIX ay gumagamit ng Bash upang mag-set up ng mga variable na pangkalikasan na kung saan ay ginamit habang pinatutupad ang iba pang mga programa, " si Jim Reavis, pinuno ng Cloud Security Alliance, ay sumulat sa isang post sa blog.
Hindi maiiwasang Paghahambing sa Puso
Isaalang-alang ang dalawang bagay tungkol sa kahinaan na ito: Ang mga server ng Linux / Unix ay malawakang ginagamit sa mga sentro ng data sa buong mundo pati na rin sa naka-embed sa maraming mga aparato; ang kahinaan ay naroroon nang maraming taon. Dahil ang Bash ay laganap, ang paghahambing sa Heartbleed, ang kahinaan sa OpenSSH na natagpuan pabalik noong Abril ay hindi maiwasan. Robert Graham ng Errata Security ay na-tinawag na ang flaw ShellShock.
Ngunit ito ba ay Heartbleed 2? Medyo mahirap sabihin. Tiyak na isang seryosong isyu ito, sapagkat nagbibigay ito ng pag-access sa pag-access sa command shell, na kung saan ang gintong tiket upang magawa ang anumang nais nila sa makina na iyon.
Isipin natin sa mga tuntunin ng laki. Ang mga server ng Apache Web ay nagbibigay lakas sa karamihan ng mga Web site sa buong mundo. Tulad ng natutunan namin sa panahon ng Heartbleed, maraming mga di-Linux / Unix machine na gumagamit ng OpenSSH at Telnet. At ang DHCP ay nakatulong sa paggawa ng madali para sa amin na mag-on on at off ang mga network. Nangangahulugan ito na bilang karagdagan sa mga computer at server, posible na ang iba pang mga naka-embed na system, tulad ng mga router, ay mahina rin sa pag-hijack. Ang Graham ng Errata Security - na nagawa ang ilan sa masusing pagsusuri ng bug hanggang ngayon - nagsagawa ng ilang mga pag-scan at madaling natagpuan ang ilang libong mahina na server, ngunit medyo mahirap sa puntong ito sa oras upang matantya ang kadami ng problema.
Gayunpaman, ang kapintasan ng Puso ay narating lamang sa pamamagitan ng pagkakaroon ng isang madaling kapitan ng pag-install ng OpenSSL. Ang bug na ito ay hindi tuwid.
"Hindi ito 'simpleng' bilang 'tumatakbo sa Bash, '" sinabi ni Beardsley. Upang ang makina ay mahina laban sa pag-atake, kailangang mayroong isang aplikasyon (tulad ng Apache) na kumuha ng input ng gumagamit (tulad ng header ng Agent-Agent) at inilalagay ito sa isang variable ng kapaligiran (na ginagawa ng mga script ng CGI), sinabi niya. Ang mga modernong Web frameworks ay sa pangkalahatan ay hindi maaapektuhan, aniya.
Maaaring ito ang dahilan kung bakit sinabi ni Graham habang ang ShellShock ay mabigat tulad ng Puso, "walang kaunting pangangailangan upang magmadali at ayusin ang bug na ito. Ang iyong pangunahing mga server ay marahil ay hindi masugatan sa bug na ito."
Ngunit bago natin mailabas ang tungkol sa mga router at naka-embed na aparato (at sa Internet ng mga Bagay), tandaan na hindi lahat ng mga sistema ay gumagamit ng Bash. Ang Ubuntu at iba pang mga sistemang nagmula sa Debian ay maaaring gumamit ng ibang tagasalin ng command na tinatawag na Dash. Ang mga naka-embed na aparato ay madalas na gumagamit ng isang tinatawag na BusyBox, na hindi masugatan, sinabi ni Roel Schouwenberg, isang senior researcher sa Kaspersky Lab, sinabi sa Twitter.
Masisigaw o Hindi?
Maaari mong suriin kung mahina ka sa pamamagitan ng pagpapatakbo ng mga sumusunod na utos (code na ibinigay ng CSA). Magbukas ng isang window window at ipasok ang sumusunod na utos sa $ prompt:
env x = '() {:;}; echo masusugatan 'bash -c "echo ito ay isang pagsubok"
Kung mahina ka mai-print ito:
mahina laban
ito ay isang pagsubok
Kung na-update mo ang Bash makikita mo lamang:
ito ay isang pagsubok
Karaniwan, sasabihin ko na magpatuloy at mag-patch kaagad, ngunit lumiliko na ang mga magagamit na mga patch ay hindi kumpleto. May mga pa rin paraan upang mag-iniksyon ng mga utos sa pamamagitan ng mga variable ng kapaligiran kahit na matapos ang pag-patch ng Bash, sinabi ng Red Hat kaninang umaga. Kung mayroon ka lamang isang bilang ng mga makina, maaaring sulit na magpatuloy at ilapat ang magagamit na mga patch, ngunit kung mayroon kang libu-libong makina upang i-patch, marahil ay nagkakahalaga ng paghihintay ng ilang higit pang mga oras. Ang lahat ng mga nangungunang pamamahagi ng Linux (at sana ang Apple!) Ay nagtatrabaho sa isang pag-aayos ngayon.
"Tandaan, kahit na hindi mo pa naririnig ang tungkol sa Bash, o hindi mo ito patakbuhin, maaari kang napakahusay na magkaroon ng software na tumatakbo sa iyong computer na nagsusulat ng mga proseso ng Bash, " sabi ng independyenteng consultant ng security na si Graham Cluley.
