Нестандартний Top10 подій у сфері IT-безпеки 2014 року

У нашій робочої термінології є одне усталене англійське вираження «threat landscape». На російську мову воно нормально не перекладається (ландшафт загроз, ага). Якщо все гранично спростити, то це така штука, на основі якої компанії роблять вибір: закупити ще заліза або витратити гроші на захист існуючої інфраструктури. Залежність тут пряма: якщо ваші поїзда постійно сходять з рейок, то вирішується це зовсім не закупівлею нових локомотивів.

Оцінювати ландшафт (ну ось, знову) за шкалою від привітного до похмурого можна по-різному. Ось, наприклад, версія від наших експертів з безпеки: підсумки 2014-го, прогноз на 2015-й, для любителів цифр, цифри. А що думають самі компанії? Ми їх регулярно про це запитуємо (детальніше тут), але в цьому році вирішили використати ще один нестандартний метод.

Відстеженням всіх значущих новин у сфері IT-безпеки у нас займається редакція сайту Threatpost. Ми вирішили відібрати 10 подій року, що минає (для версії сайту англійській) за єдиним критерієм: популярності відповідних статей. І отримали цікавий набір новин, актуальний для айтішників, наших нинішніх і потенційних клієнтів і сб. У ньому абсолютно немає політики (тобто історій про Сноудена і NSA), і досить мало тим стратегічного плану. Зате на перший план вийшли проблеми, які необхідно враховувати при оцінці цього самого ландшафту вже зараз. Докладніше — під катом.

Читати далі →

Перевірте свого хостера на вразливість Shellshock (частина 2)

Нещодавно ХостТрекер представив функцію перевірки вразливості Shellshock з допомогою куки, що було описано в відповідної публікації. Слідуючи побажанням наших клієнтів, а також коментарів до попередньої статті, ми дещо розширили функціонал перевірки — тепер можна тестувати Shellshock за допомогою будь-якого поля в http-запиті, а не тільки куки.




Читати далі →

Перевірте свого хостера на вразливість Shellshock

У зв «відкриттям» повсюдно обговорювану останнім часом Shellshock-уразливості (наприклад, тут і тут), а також переслідуючи благу мету усунення можливих неприємних наслідків використання цієї уразливості, сервіс моніторингу сайтів ХостТрекер надає можливість миттєво визначити наявність цієї самої уразливості на линуксовых серверах та встановленим веб-сервером (перевірка результату відбувається через протокол http).

image


Читати далі →

Виправлення уразливості shellshock для застарілих систем

Для дистрибутивів з чинною підтримкою вразливість Shellshock усувається простим оновленням пакету bash. Але якщо оновлення вже не випускаються, рішення проблеми буде складніше. Робочих варіантів всього два — оновлювати bash іншим способом або відмовлятися від bash на користь іншого shell-інтерпретатора.


Читати далі →

Сервіс Evernote не торкнуться багом Shellshock

Інформація про уразливості в GNU Bash, виявленої Стефані Чазелас, була публічно розкрита минулого тижня. Баг має офіційну назву CVE-2014-6271, але більше відомий як Shellshock. GNU Bash є на більшості систем Linux і OS X, і ми використовуємо це інтерпретатор для управління серверами та іншою інфраструктурою сервісу Evernote.

Читати далі →

Apple виправила вразливість Shellshock в OS X

Компанія APPLE випустила оновлення-SA-2014-09-29-1, яке виправляє нещодавно виявлену вразливість Shellshock для OS X версій Lion, Mountain Lion і Mavericks. Це оновлення приносить нову версію інтерпретатора Bash v.3.2.53 і виправляє дві відносяться до Shellshock уразливості: CVE-2014-6271 (Stephane Chazelas) і CVE-2014-7169 (Tavis Ormandy). Перша уразливість представляє з себе спочатку виявлений баг в Bash, який призводить до виконання неналежних інструкцій інтерпретатора, а друга є батогом у першому патчі до Bash, який також містив помилку і міг призводити до несанкціонованого виконання інструкцій.



Джерело: Хабрахабр

Все, що ви хотіли знати про уразливості Shellshock (але боялися запитати)

Пам'ятайте Heartbleed? Shellshock можна віднести до тієї ж «вагової категорії», з таким же стильним назвою, хоч і без класного логотипу (кому-то з департаменту маркетингу цієї проблеми треба б цим зайнятися). Але у Shellshock є потенціал стати не менш важливою птахом, ніж Heartbleed. І зараз я хотів би зібрати воєдино всю необхідну інформацію, яка допоможе усім бажаючим впоратися з ситуацією і уникнути можливих проблем з-за неочевидною, на перший погляд, загрози.

Для початку дозвольте поділитися з вами деякою інформацією з блогу Роберта Грема, який провів чудовий аналіз вразливості. Розглянемо нижче представлений HTTP-запит:

target = 0.0.0.0/0
port = 80
banners = true
http-user-agent = shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)
http header = Cookie:() { :; }; ping-c 3 209.126.230.74
http header = Host:() { :; }; ping-c 3 209.126.230.74
http header = Referer:() { :; }; ping-c 3 209.126.230.74

Якщо його застосувати до діапазону вразливих IP, то отримаємо такий результат:



Простіше кажучи, Роберт змусив купу віддалених машин пінгувати його, просто відправивши в мережу спеціально сформований запит. Занепокоєння викликає той факт, що він змусив ці машини виконати довільну команду (в даному випадку нешкідливий ping), що відкриває найширші можливості.

Читати далі →

Вразливість ShellShock експлуатується in-the-wild

Уразливість Shellshock (CVE-2014-6271) по масштабності та наслідків для всесвітньої мережі і підключених до неї пристроїв можна порівняти тільки з сумно відомої Heartbleed, яка була виявлена навесні цього року. Таку назву отримала уразливість в командному інтерпретаторі Bash, який використовується в різноманітних модифікаціях і дистрибутивах Linux, Unix, Apple OS X (включаючи новітню версію OS X Mavericks), а також Android. Уразливості присвоєно найвищий — 10-й рівень небезпеки, при цьому вразливими є всі версії інтерпретатора, включаючи новітню 4.3.



Основну небезпеку Shellshock представляє з тієї причини, що він дозволяє віддалено виконати код на вразливою ОС (виконувати необхідні атакуючим команди інтерпретатором). При цьому з точки зору експлуатації уразливості, це зробити досить просто. Сам Bash залучається до використання CGI-скрипти (що і дозволяє здійснювати віддалену експлуатацію), які працюють на веб-серверах і не тільки, наприклад, з використанням компонента cgi_module. Одна з шкідливих програм, яка доставляється атакуючими на скомпрометований сервер виявляється AV-продуктами ESET як Linux/DDoS.M.


Читати далі →

Нова небезпечна уразливість ShellShock дозволяє атакувати безліч пристроїв-від смартфонів до промислових серверів

Експерти Positive Technologies попереджають про нову уразливості ShellShock (CVE-2014-6271), використання якої дає змогу виконати довільний код. Уразливість торкнулася не тільки інтернет-сервери і робочі станції, але і пристрої, які ми використовуємо в повсякденному житті — смартфони і планшети, домашні маршрутизатори, ноутбуки.

image

Уразливість присутній в одному з фундаментальних компонентів Linux-систем, командної оболонки bash. Механізм обробки експортованих функцій дозволяє зловмисникові віддалено запускати довільні команди операційної системи, в разі якщо він має можливість впливати на змінні оточення системи. Подібна ситуація часто складається у веб-додатках при використанні інтерфейсу CGI (наприклад, сервер Apache з використанням mod_cgi або mod_cgi). Також уразливі поширені технології онлайн-розробки PHP і Python при використанні викликів system/exec чи os.system/os.popen відповідно.
Читати далі →