Author Archives: Tarmo Randel

Shellshock saaga vahefinish

CERT-EE tegi pinnapealse skaneerimise riigivõrgule ja osale Eesti IP ruumile. Tulemus – ei leidunud sobilikke hoste, kes oleks päringus tehtud palumise peale soostunud saatma ICMP pakette. Kordame oma tegevust samas mahus sellel nädalavahetusel, aga pisut muudetud
päringuparameetritega.

Maailmas toimuvast on teada:

  • bash turvaviga kasutades on tekitatud botnette, seni teadaolevad “zombide” kontrollkeskuste IPd on 89.238.150.154, 162.253.66.76, 95.211.27.152, 46.16.170.158 ja 185.31.209.84;
  • haavatavaid servereid kasutatakse praegu rünnetes pastebin.com (Cloudflare) ja US kaitseministeeriumi vastu;
  • DHCP serveri kaudu on viga kasutades võimalik käivitada kliendi arvutis protsesse juurkasutaja õigustes;
  • päris paljud tarkvaratootjad ei ole veel turvapaiku ilmutanud. Mõned on suisa mitu paika järjest ilmutanud, sest esimene patch ei parandanud probleeme;
  • mida aeg edasi, seda rohkem leiavad pahatahlikud üha rohkem “auke”, mille kaudu teha rünnet bash’i viga ära kasutades.

Soovitusi infosüsteemide omanikele/haldajatele:

  • jälgige kasutatavate OSide uuenduste teateid
  • paigaldage turvapaiga ilmudes see niipea kui võimalik
  • vanade internetiga ühendatud süsteemide puhul üritage aru saada, kas bashi viga on võimalik ära kasutada iidamast-aadamast pärit veebirakenduse kaudu või mõnel muul moel
  • jälgige oma süsteemide perimeetril toimuvat, “tihendage” filtreid.

Jõudu!

CERT-EE

Oluline paik süsteemidele, milles kasutusel “/bin/bash”

Tähelepanu süsteemiadministraatorid!

Kui haldad serverit, millele paigaldatud pakett Unix “koorikuga” (shell) Bash versiooninumbriga 3.0 ja 4.3 vahel (k.a), siis paigalda turvauuendused sellele serverile KOHE!

Bug-Description:

Under certain circumstances, bash will execute user code while processing the
environment for exported function definitions.

Selle lakoonilise kirjelduse tagant on esmapilgul raske välja lugeda võimalust rünnata võrgu kaudu süsteeme, kus käivitatakse /bin/bash. Siiski, üle võrgu on kõnealuse shelli nõrkuse ärakasutamine siiski võimalik – olgu selleks siis SSH terminal või /cgi-bin/ kaudu serveeritavad veebilehed. Viimane meetod ongi hetkel ära märgitud suurima ohuna.

CVE andmebaasis on veale antud number CVE-2014-6271, selle märksõna järgi on ka lihtsam otsida lisainfot enda hallatava Linux distributsiooni turvateadete nimistust, mõned toon siin ka ära:

Teateid OS X uuenduste kohta ootame.

Jõudu!

CERT-EE