Stará chyba v shelli Bash postihuje pol miliardy zariadení

Exper­ti na inter­ne­te ob­ja­vi­li bez­peč­nos­tné ri­zi­ko, kto­ré pos­ti­hu­je stov­ky mi­lió­nov po­čí­ta­čov, server­ov a ďal­ších za­ria­de­ní s ope­rač­ný­mi sys­té­ma­mi ty­pu Unix, Li­nux ale­bo OS X.

Di­era bo­la ob­ja­ve­ná v jed­nom z naj­roz­ší­re­nej­ších pros­tre­dí prí­ka­zo­vé­ho riad­ka zná­mom ako Bash, kto­rý je sú­čas­ťou mno­hých unixových a li­nuxových sys­té­mov, rov­na­ko aj ope­rač­né­ho sys­té­mu pre OS X od App­lu. Chy­ba, kto­rú exper­ti pre­zý­va­jú Shellshock, mô­že byť vy­uži­tá na zís­ka­nie vzdia­le­nej kon­tro­ly nad tak­mer akým­koľ­vek sys­té­mom ob­sa­hu­jú­cim Bash. Pod­ľa niek­to­rých od­bor­ní­kov je no­vé ri­zi­ko ove­ľa ne­bez­peč­nej­šie než Heartbleed, o kto­rom sa ve­ľa pí­sa­lo v ap­rí­li toh­to ro­ka.

Kým Heartbleed umož­ňo­val zis­tiť o pou­ží­va­te­ľo­vi čo naj­viac ve­cí, Shellshock umož­ňu­je prev­ziať pria­mu kon­tro­lu nad sys­té­mom," uvie­dol pro­fe­sor Alan Woodward z Uni­ver­si­ty of Surrey. Hearbleed oh­ro­zo­val asi pol mi­lió­na po­čí­ta­čov na ce­lom sve­te, Shellshock sa však pod­ľa kon­zer­va­tív­nych od­ha­dov exper­tov tý­ka mi­ni­mál­ne päť­sto mi­lió­nov za­ria­de­ní. Prob­lém je o to zá­važ­nej­ší, že mno­ho webo­vých server­ov pou­ží­va sof­tvér Apa­che, kto­rý vy­uží­va prá­ve Bash.

Bash (Bour­ne-Again Shell) je prí­ka­zo­vý ria­dok na mno­hých po­čí­ta­čoch s Unixom. Unix je ope­rač­ný sys­tém, na kto­rom je pos­ta­ve­ných, prí­pad­ne sa v ňom in­špi­ru­je ve­ľa ďal­ších OS - nap­rík­lad Li­nux ale­bo OS X. O no­vom ri­zi­ku na svo­jich strán­kach in­for­mo­val ok­rem iné­ho aj US Com­pu­ter Emer­gen­cy Rea­di­ness Team (US-Cert) s tým, že správ­co­via by ma­li čo naj­skôr pou­žiť bez­peč­nos­tné op­ra­vy. Iní bez­peč­nos­tní exper­ti však va­ro­va­li pred tým, že ak­tua­li­zá­cie sú „neúpl­né" a po­čí­ta­če pl­ne ne­za­bez­pe­čia.

Shellshock je na šká­le od je­den do de­sať ozna­če­ný ako de­siat­ka, te­da už ani ne­mô­že byť viac ne­bez­peč­ný. Jed­nak je tu znač­ný po­čet pou­ží­va­te­ľov, kto­rí mô­žu byť pos­tih­nu­tí, hlav­ne je však pre Shellshock už voľ­ne dos­tup­ný exploit a vie sa, že ky­berzlo­čin­ci ak­tív­ne hľa­da­jú webo­vé strán­ky, kto­ré by bo­li vhod­né na vy­ko­na­nie úto­ku. Server­y te­raz pod­ľa exper­tov chrá­ni pre­dov­šet­kým fakt, že ky­ber­ne­tic­kí útoč­ní­ci sú le­ni­ví a iba ko­pí­ru­jú to, čo už iní vy­mys­le­li. Hľa­da­nie exploi­tov je ťaž­ká prá­ca, pre­to väč­ši­na útoč­ní­kov iba vy­uží­va už pub­li­ko­va­né in­for­má­cie.

Aj keď bez­peč­nos­tní exper­ti zo spo­loč­nos­ti Ra­pid7 ohod­no­ti­li zá­važ­nosť Bash ako 10/10, ozna­či­li ho ako „má­lo" so­fis­ti­fi­ko­va­ný. S pou­ži­tím tej­to di­ery útoč­ní­ci mô­žu po­ten­ciál­ne prev­ziať kon­tro­lu nad ope­rač­ným sys­té­mom, pris­tu­po­vať k cit­li­vým in­for­má­ciám, vy­ko­ná­vať zme­ny a tak ďa­lej," uvie­dol Tod Beardsley z Ra­pid7.

Ako uvied­la spo­loč­nosť Kas­per­sky Labs, zra­ni­teľ­nosť už bo­la ky­berzlo­čin­ca­mi zneu­ži­tá na na­pad­nu­tie webo­vých server­ov. Bež­ným do­má­cim pou­ží­va­te­ľom, kto­rí ma­jú oba­vy o bez­peč­nosť, po­tom pro­fe­sor Woodward od­po­rú­ča sle­do­vať webo­vé strán­ky vý­rob­cov har­dvé­ru, pre­dov­šet­kým sme­ro­va­čov, a ča­kať na ak­tua­li­zá­cie.

Zdroj: Com­pu­terWorld


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter