Shellshock (ошибка программного обеспечения)

этой статьи Начальный раздел может оказаться слишком длинным . Пожалуйста, ознакомьтесь с рекомендациями по длине и помогите перенести детали в тело статьи . ( ноябрь 2016 г. )

Контузия

Простой логотип Shellshock, похожий на логотип ошибки Heartbleed .
Идентификатор(ы) CVE	CVE - 2014-6271 (начальный), CVE - 2014-6277 , CVE - 2014-6278 , CVE - 2014-7169 , CVE - 2014-7186 , CVE - 2014-7187
Дата обнаружения	12 сентября 2014 г .; 9 лет назад ( 12.09.2014 )
Дата исправления	24 сентября 2014 г .; 9 лет назад ( 24.09.2014 )
Первооткрыватель	Стефан Шазелас
Затронутое программное обеспечение	Баш (1.0.3–4.3)

Shellshock , также известный как Bashdoor , ^[1] это семейство ошибок безопасности ^[2] в Unix Bash оболочке , первая из которых была раскрыта 24 сентября 2014 года. Shellshock может позволить злоумышленнику заставить Bash выполнить произвольные команды и получить несанкционированный доступ ^[3] ко многим интернет-сервисам, таким как веб-серверы, которые используют Bash для обработки запросов.

12 сентября 2014 года Стефан Шазела проинформировал сопровождающего Bash Чета Рэми. ^[1] о его открытии оригинальной ошибки, которую он назвал «Bashdoor». Работая с экспертами по безопасности, г-н Шазелас разработал патч. ^[1] (исправление) проблемы, которой к тому времени был присвоен идентификатор уязвимости CVE - 2014-6271 . ^[4] О существовании ошибки было объявлено 24 сентября 2014 г., когда обновления Bash с исправлением были готовы к распространению. ^[5]

Ошибка, обнаруженная Чазеласом, приводила к тому, что Bash непреднамеренно выполнял команды, когда команды объединяются в конец определений функций , хранящихся в значениях переменных среды . ^{[1] [6]} Через несколько дней после публикации было обнаружено множество связанных уязвимостей ( CVE — 2014-6277 , CVE- 2014-6278 , CVE- 2014-7169 , CVE- 2014-7186 и CVE- 2014-7187 ). Рэми решил эту проблему, выпустив серию дальнейших патчей. ^{[7] [8]}

Злоумышленники воспользовались Shellshock в течение нескольких часов после первоначального раскрытия, создав бот-сети из скомпрометированных компьютеров для выполнения распределенных атак типа «отказ в обслуживании» и сканирования уязвимостей . ^{[9] [10]} Охранные компании зафиксировали миллионы атак и проверок, связанных с ошибкой, в течение нескольких дней после ее раскрытия. ^{[11] [12]}

Из-за возможности компрометации миллионов неисправленных систем Shellshock Heartbleed . по серьезности сравнивали с ошибкой ^{[3] [13]}

Ошибка Shellshock затрагивает Bash — программу, которую различные системы на базе Unix используют для выполнения командных строк и командных сценариев. системы по умолчанию Он часто устанавливается в качестве интерфейса командной строки . Анализ истории исходного кода Bash показывает, что ошибка была обнаружена 5 августа 1989 года и выпущена в версии Bash 1.03 1 сентября 1989 года. ^{[14] [15] [16]}

Shellshock — это уязвимость выполнения произвольного кода , которая позволяет пользователям системы выполнять команды, которые должны быть для них недоступны. Это происходит с помощью функции «экспорта функций» Bash, благодаря которой один процесс Bash может использовать командные сценарии совместно с другими процессами Bash, которые он выполняет. ^[17] Эта функция реализуется путем кодирования сценариев в таблице, которая является общей для всех процессов и называется списком переменных среды . Каждый новый процесс Bash сканирует эту таблицу на наличие закодированных сценариев, объединяет каждый из них в команду, которая определяет этот сценарий в новом процессе, и выполняет эту команду. ^[18] Новый процесс предполагает, что сценарии, найденные в списке, принадлежат другому процессу Bash, но он не может проверить это, а также не может проверить, что созданная им команда является правильно сформированным определением сценария. Таким образом, злоумышленник может выполнять произвольные команды в системе или использовать другие ошибки, которые могут существовать в интерпретаторе команд Bash, если у злоумышленника есть способ манипулировать списком переменных среды, а затем запускать Bash. На момент обнаружения ошибки Bash был установлен в macOS и многих операционных системах Linux в качестве основного интерпретатора команд, поэтому любая программа, использовавшая system функция для запуска любой другой программы будет использовать для этого Bash.

О наличии ошибки было объявлено публике 24 сентября 2014 г., когда обновления Bash с исправлением были готовы к распространению. ^[5] хотя на обновление компьютеров потребовалось некоторое время, чтобы устранить потенциальную проблему безопасности.

В течение часа после объявления об уязвимости Bash появились сообщения о том, что эта ошибка скомпрометировала машины. К 25 сентября 2014 года ботнеты на базе компьютеров, скомпрометированных с помощью эксплойтов, основанных на этой ошибке, использовались злоумышленниками для распределенных атак типа «отказ в обслуживании» (DDoS) и сканирования уязвимостей . ^{[9] [10] [19]} «Лаборатория Касперского» сообщила, что компьютеры, скомпрометированные в результате атаки, получившей название «Спасибо-Роб», проводили DDoS-атаки на три цели, которые они не идентифицировали. ^[9] 26 сентября 2014 года сообщалось о связанном с Shellshock ботнете, получившем название «wopbot», который использовался для DDoS-атаки на Akamai Technologies и для сканирования Министерства обороны США . ^[10]

26 сентября охранная фирма Incapsula отметила 17 400 атак на более чем 1800 веб-доменов, исходящих с 400 уникальных IP-адресов, за предыдущие 24 часа; 55% атак было совершено из Китая и США. ^[11] К 30 сентября компания CloudFlare, занимающаяся производительностью веб-сайтов , заявила, что ежедневно отслеживает около 1,5 миллиона атак и проверок, связанных с ошибкой. ^[12]

6 октября стало широко известно, что Yahoo! серверы были скомпрометированы в результате атаки, связанной с проблемой Shellshock. ^{[20] [21]} Однако на следующий день было опровергнуто, что именно Shellshock допустил эти атаки. ^[22]

Веб-сервер на основе CGI

Когда веб-сервер использует общий интерфейс шлюза (CGI) для обработки запроса документа, он копирует определенную информацию из запроса в список переменных среды, а затем делегирует запрос программе-обработчику. Если обработчиком является сценарий Bash или он выполняет Bash, то Bash получит переменные среды, переданные сервером, и обработает их, как описано выше. Это дает злоумышленнику возможность активировать уязвимость Shellshock с помощью специально созданного запроса документа. ^[6]

В документации по безопасности широко используемого веб-сервера Apache говорится: «CGI-скрипты могут... быть чрезвычайно опасными, если их тщательно не проверять». ^[23] и вместо этого обычно используются другие методы обработки запросов веб-сервера. Существует ряд онлайн-сервисов, которые пытаются проверить уязвимость веб-серверов, подключенных к Интернету. ^{[ нужна ссылка ]}

OpenSSH-сервер

OpenSSH имеет функцию «ForceCommand», при которой при входе пользователя в систему выполняется фиксированная команда, а не просто запуск неограниченной командной оболочки. Фиксированная команда выполняется, даже если пользователь указал, что должна быть запущена другая команда; в этом случае исходная команда помещается в переменную среды «SSH_ORIGINAL_COMMAND». Когда принудительная команда запускается в оболочке Bash (если для пользовательской оболочки задано значение Bash), оболочка Bash при запуске анализирует переменную среды SSH_ORIGINAL_COMMAND и запускает встроенные в нее команды. Пользователь использовал свой ограниченный доступ к оболочке, чтобы получить неограниченный доступ к оболочке, используя ошибку Shellshock. ^[24]

DHCP-клиенты

Некоторые клиенты DHCP также могут передавать команды Bash; уязвимая система может быть атакована при подключении к открытой сети Wi-Fi. Клиент DHCP обычно запрашивает и получает IP-адрес от сервера DHCP, но ему также может быть предоставлен ряд дополнительных опций. В одном из этих вариантов вредоносный DHCP-сервер может предоставить строку, предназначенную для выполнения кода на уязвимой рабочей станции или ноутбуке. ^[13]

Qmail-сервер

При использовании Bash для обработки сообщений электронной почты (например, через канал .forward или qmail-alias), почтовый сервер qmail передает внешние входные данные таким образом, что можно использовать уязвимую версию Bash. ^{[25] [7]}

Ограниченная оболочка IBM HMC

Эту ошибку можно использовать для получения доступа к Bash из ограниченной оболочки Console IBM Hardware Management . ^[26] крошечный вариант Linux для системных администраторов. IBM выпустила исправление для решения этой проблемы. ^[27]

Сопровождающий Bash был предупрежден о первом обнаружении ошибки 12 сентября 2014 г.; вскоре последовало исправление. ^[1] Несколько компаний и дистрибьюторов были проинформированы до того, как этот вопрос был публично раскрыт 24 сентября 2014 г. с идентификатором CVE CVE — 2014-6271 . ^{[4] [5]} Однако после выпуска патча появились сообщения о различных, но связанных между собой уязвимостях. ^[28]

26 сентября 2014 года два участника открытого исходного кода, Дэвид А. Уиллер и Норихиро Танака, отметили, что возникли дополнительные проблемы даже после исправления систем с использованием самых последних доступных исправлений. В электронном письме, адресованном спискам рассылки oss-sec и bash-bug, Уиллер написал: «Этот патч просто продолжает работу «ударь крота» [ sic ] по исправлению ошибок синтаксического анализа, которая началась с первого патча. Парсер Bash определенные [иметь] много-много-много других уязвимостей». ^[29]

27 сентября 2014 года Михал Залевски из Google Inc. объявил об обнаружении других уязвимостей Bash: ^[7] один основан на том факте, что Bash обычно компилируется без рандомизации структуры адресного пространства . ^[30] 1 октября Залевски опубликовал подробную информацию об последних ошибках и подтвердил, что патч Флориана Веймера из Red Hat , опубликованный 25 сентября, действительно предотвращает их. Он сделал это, используя технику фаззинга с помощью программной утилиты, известной как American fuzzy lop . ^[31]

Эта исходная форма уязвимости ( CVE — 2014-6271 ) включает специально созданную переменную среды, содержащую экспортированное определение функции, за которым следуют произвольные команды. Bash неправильно выполняет завершающие команды при импорте функции. ^[32] Уязвимость можно проверить с помощью следующей команды:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

В системах, затронутых уязвимостью, приведенные выше команды будут отображать слово «уязвимый» в результате выполнения Bash команды «echo уязвимый» , которая была встроена в специально созданную переменную среды с именем «x» . ^{[8] [33]}

Открыт Михалом Залевским . ^{[7] [30] [34]} уязвимость CVE - 2014-6277 , который относится к анализу определений функций в переменных среды с помощью Bash, может вызвать ошибку сегмента . ^[35]

Также обнаружен Михалом Залевским . ^{[35] [36]} эта ошибка ( CVE - 2014-6278 ) относится к анализу определений функций в переменных среды с помощью Bash.

В тот же день, когда была опубликована исходная уязвимость, Тэвис Орманди обнаружил связанную с ней ошибку ( CVE — 2014-7169 ), ^[24] который продемонстрировано в следующем коде:

env X='() { (a)=>\' bash -c "echo date"; cat echo

В уязвимой системе это приведет к непреднамеренному выполнению команды «дата». ^[24]

Вот пример системы, в которой есть исправление для CVE-2014-6271, но нет CVE-2014-7169:

$ X='() { (a)=>\' bash -c "echo date"
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
$ cat echo
Fri Sep 26 01:37:16 UTC 2014

Система отображает синтаксические ошибки, уведомляя пользователя о том, что появление CVE-2014-6271 предотвращено, но по-прежнему записывает в рабочий каталог файл с именем «echo», содержащий результат вызова «date».

Система, исправленная как для CVE-2014-6271, так и для CVE-2014-7169, будет просто отображать слово «дата», и файл «echo» не будет создан, как показано ниже:

$ X='() { (a)=>\' bash -c "echo date"
date
$ cat echo
cat: echo: No such file or directory

Флориан Веймер и Тодд Сабин нашли эту ошибку ( CVE - 2014-7186 ), ^{[8] [31]} что связано с ошибкой доступа к памяти за пределами границ в коде парсера Bash. ^[37]

Пример уязвимости, которая использует использование нескольких объявлений «<<EOF» (вложенных «здесь документы» ):

bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' ||
echo "CVE-2014-7186 vulnerable, redir_stack"

Уязвимая система отобразит текст «CVE-2014-7186 уязвимый, redir_stack».

Также найден Флорианом Веймером, ^[8] CVE - 2014-7187 — это ошибка в коде парсера Bash, допускающая выход за пределы памяти. ^[38]

Пример уязвимости, которая использует использование нескольких объявлений «готово»:

(for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in {1..200} ; do echo done ; done) | bash ||
echo "CVE-2014-7187 vulnerable, word_lineno"

Уязвимая система отобразит текст «CVE-2014-7187 уязвим, word_lineno». Для этого теста требуется оболочка, поддерживающая расширение скобок . ^[39]

До 24 сентября 2014 года сопровождающий Bash Чет Рэми предоставил исправленную версию bash43-025 для Bash 4.3, устраняющую CVE-2014-6271. ^[40] который уже был упакован сопровождающими дистрибутива. 24 сентября последовал bash43-026, адресованный CVE-2014-7169. ^[41] Затем была обнаружена CVE-2014-7186. Флориан Веймер из Red Hat опубликовал код патча для этого «неофициально» 25 сентября. ^[42] который Рэми включил в Bash как bash43-027. ^{[43] [44]} — Эти патчи содержали только исходный код , что полезно только для тех, кто знает, как скомпилировать (« перестроить ») новый двоичный исполняемый файл Bash из файла патча и оставшихся файлов исходного кода. В патчах добавлен префикс имени переменной при экспорте функций; это предотвратило возникновение уязвимости произвольными переменными и позволило другим программам удалять функции Bash из среды.

На следующий день Red Hat официально представила соответствующие обновления для Red Hat Enterprise Linux . ^{[45] [46]} спустя еще один день для Fedora 21 . ^[47] Компания Canonical Ltd. представила обновления для своих версий Ubuntu с долгосрочной поддержкой в ​​субботу, 27 сентября; ^[48] в воскресенье вышли обновления для SUSE Linux Enterprise . ^[49] В следующие понедельник и вторник в конце месяца Mac OS X. появились обновления ^{[50] [51]}

1 октября 2014 года Михал Залевски из Google Inc. наконец заявил, что код Веймера и bash43-027 исправили не только первые три ошибки, но даже оставшиеся три, которые были опубликованы после bash43-027, включая два его собственных открытия. ^[31] Это означает, что после предыдущих обновлений дистрибутива не требовалось никаких других обновлений для устранения всех шести проблем. ^[46]

Все они также включены в IBM Hardware Management Console . ^[27]

Викискладе есть медиафайлы, связанные с Shellshock (ошибка программного обеспечения) .

• NIST. Национальная база данных уязвимостей Архивировано 25 сентября 2011 г. на Wayback Machine и CVE. общие уязвимости и уязвимости
  • CVE-2014-6271 — 20140924nist и 20140909cve (первая ошибка)
  • CVE-2014-6277 — 20140927nist и 20140909cve
  • CVE-2014-6278 — 20140930nist и 20140909cve
  • CVE-2014-7169 — 20140924nist и 20140924cve (вторая ошибка)
  • CVE-2014-7186 — 20140929nist и 20140925cve
  • CVE-2014-7187 — 20140929nist и 20140925cve
• Исходный код Bash из проекта GNU Project , включает исправления для известных уязвимостей (28 сентября 2014 г.)
• «Shellshock in the Wild», загрузчики вредоносного ПО, обратные оболочки и бэкдоры, утечка данных и DDoS в FireEye, Inc.
• Коллекция атак, наблюдаемых в дикой природе (29 сентября 2014 г.) в Институте SANS.
• Предупреждение безопасности для CVE-2014-7169 в Oracle
• «Устранение VMware уязвимости внедрения кода Bash с помощью специально созданных переменных среды» на VMware
• База данных уязвимостей Cyberwatch. Архивировано 22 августа 2018 г. на Wayback Machine.
  • CVE-2014-6271
  • CVE-2014-6277
  • CVE-2014-6278
  • CVE-2014-7169
  • CVE-2014-7186
  • CVE-2014-7187
• Эксплуатация ShellShock с помощью Metasploit Framework