วีดีโอ: à¹à¸§à¸à¹à¸²à¸à¸±à¸ à¸à¸à¸±à¸à¸à¸´à¹à¸¨à¸© (ธันวาคม 2024)
ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าบั๊กที่พบใน Bash ซึ่งเป็นล่ามคำสั่งที่ใช้กันอย่างแพร่หลายทำให้เกิดความเสี่ยงด้านความปลอดภัยที่สำคัญสำหรับระบบ Unix และ Linux และเพื่อไม่ให้คุณถูกไล่ออกจากปัญหาเช่นเดียวกับปัญหาเซิร์ฟเวอร์โปรดจำไว้ว่า Mac OS X ใช้ Bash ผู้เชี่ยวชาญหลายคนเตือนว่ามันอาจจะแย่กว่า Heartbleed
ช่องโหว่มีอยู่ใน Bash เวอร์ชันส่วนใหญ่ตั้งแต่เวอร์ชั่น 1.13 ถึง 4.3 ตาม Stephane Chazelas เครือข่าย Unix และ Linux และผู้ดูแลระบบโทรคมนาคมของ Akamai ซึ่งเป็นผู้เปิดเผยข้อผิดพลาดเป็นครั้งแรก ทีมรับมือเหตุฉุกเฉินคอมพิวเตอร์ (CERT) ที่กระทรวงความมั่นคงแห่งมาตุภูมิเตือนในการเตือนว่าหากถูกโจมตีช่องโหว่อาจทำให้แฮกเกอร์ระยะไกลสามารถสั่งรันโค้ดอันตรายบนระบบที่ได้รับผลกระทบ ฐานข้อมูลช่องโหว่ของ NIST ได้จัดอันดับข้อผิดพลาด 10 จาก 10 ในแง่ของความรุนแรง
"ช่องโหว่นี้อาจเป็นเรื่องใหญ่มาก" Tod Beardsley ผู้จัดการฝ่ายวิศวกรรมของ Rapid7 กล่าว
ช่องโหว่ดังกล่าวเกี่ยวข้องกับวิธีที่ Bash จัดการกับตัวแปรสภาพแวดล้อม เมื่อกำหนดฟังก์ชันให้กับตัวแปรรหัสพิเศษใด ๆ ในนิยามจะถูกเรียกใช้งาน ดังนั้นผู้โจมตีทุกคนต้องทำอย่างใดอย่างหนึ่งต่อท้ายคำสั่งต่าง ๆ ในคำจำกัดความนั้น - การโจมตีด้วยการฉีดรหัสแบบคลาสสิก - และพวกเขาจะสามารถจี้เครื่องที่ได้รับผลกระทบจากระยะไกลได้ Chazelas และนักวิจัยคนอื่น ๆ ที่ดูข้อบกพร่องได้ยืนยันว่ามันเป็นประโยชน์อย่างง่ายดายถ้ารหัสถูกฉีดเข้าไปในตัวแปรสภาพแวดล้อมเช่นคุณลักษณะ ForceCommand ใน OpenSSH sshd, mod_cgi และ mod_cgid โมดูลใน Apache HTTP Server หรือสคริปต์ที่ตั้งค่า สภาวะแวดล้อมสำหรับไคลเอ็นต์ DHCP
"โปรแกรมจำนวนมากบน Linux และระบบ UNIX อื่น ๆ ใช้ Bash ในการตั้งค่าตัวแปรสภาพแวดล้อมที่ใช้ในขณะดำเนินการโปรแกรมอื่น" Jim Reavis หัวหน้าผู้บริหารของ Cloud Security Alliance เขียนในบล็อกโพสต์
เปรียบเทียบ Heartbleed หลีกเลี่ยงไม่ได้
พิจารณาสองสิ่งเกี่ยวกับช่องโหว่นี้: เซิร์ฟเวอร์ Linux / Unix ใช้กันอย่างแพร่หลายในศูนย์ข้อมูลทั่วโลกรวมถึงที่ฝังอยู่ในอุปกรณ์หลายชนิด ช่องโหว่ดังกล่าวมีมานานหลายปีแล้ว เนื่องจาก Bash แพร่หลายมากการเปรียบเทียบกับ Heartbleed ช่องโหว่ใน OpenSSH ที่ค้นพบเมื่อเดือนเมษายนจึงเป็นสิ่งที่หลีกเลี่ยงไม่ได้ Robert Graham จาก Errata Security ได้ทำการขนานนาม ShellShock ข้อบกพร่องแล้ว
แต่ Heartbleed 2 คืออะไร? มันยากที่จะบอก มันเป็นปัญหาที่ร้ายแรงอย่างแน่นอนเพราะมันทำให้ผู้โจมตีเข้าถึงเชลล์คำสั่งซึ่งเป็นตั๋วทองคำที่สามารถทำสิ่งที่พวกเขาต้องการบนเครื่องนั้นได้
ลองคิดในแง่ของขนาด เว็บเซิร์ฟเวอร์ Apache ให้พลังกับเว็บไซต์ส่วนใหญ่ในโลก ดังที่เราได้เรียนรู้ระหว่าง Heartbleed มีเครื่องที่ไม่ใช่ Linux / Unix จำนวนมากที่ใช้ OpenSSH และ Telnet และ DHCP นั้นมีส่วนช่วยให้เรากระโดดขึ้นและลงเครือข่ายได้ง่าย ซึ่งหมายความว่านอกเหนือจากคอมพิวเตอร์และเซิร์ฟเวอร์แล้วอาจเป็นไปได้ว่าระบบฝังตัวอื่น ๆ เช่นเราเตอร์ยังเสี่ยงต่อการถูกขโมยด้วย เกรแฮมของ Errata Security ซึ่งได้ทำการวิเคราะห์ข้อผิดพลาดอย่างละเอียดที่สุดแล้วนั้นทำการสแกนและพบเซิร์ฟเวอร์ที่มีช่องโหว่สองสามพันตัว แต่ก็ยากที่จะประเมินขนาดของปัญหาได้ในเวลานี้
อย่างไรก็ตามข้อบกพร่อง Heartbleed มีอยู่เพียงแค่ติดตั้ง OpenSSL เวอร์ชันที่มีช่องโหว่ ข้อผิดพลาดนี้ไม่ตรงไปตรงมา
“ มันไม่ง่ายเท่าที่จะใช้ Bash” Beardsley กล่าว เพื่อให้เครื่องมีความเสี่ยงที่จะถูกโจมตีจำเป็นต้องมีแอปพลิเคชัน (เช่น Apache) ในการป้อนข้อมูลผู้ใช้ (เช่นส่วนหัวของ User-Agent) และวางลงในตัวแปรสภาพแวดล้อม (ซึ่งสคริปต์ CGI ทำ) เขากล่าว กรอบเว็บสมัยใหม่โดยทั่วไปจะไม่ได้รับผลกระทบเขากล่าว
นี่อาจเป็นสาเหตุที่ Graham พูดในขณะที่ ShellShock นั้นรุนแรงเหมือน Heartbleed "มีความต้องการเพียงเล็กน้อยในการเร่งและแก้ไขข้อบกพร่องนี้เซิร์ฟเวอร์หลักของคุณอาจไม่เสี่ยงต่อข้อผิดพลาดนี้"
แต่ก่อนที่เราจะประหลาดใจเกี่ยวกับเราเตอร์และอุปกรณ์ฝังตัว (และอินเทอร์เน็ตของสิ่งต่าง ๆ ) โปรดทราบว่าไม่ใช่ว่าทุกระบบจะใช้ Bash Ubuntu และระบบอื่น ๆ ที่ได้รับจาก Debian อาจใช้ล่ามคำสั่งอื่นที่เรียกว่า Dash อุปกรณ์ฝังตัวมักใช้หนึ่งชื่อ BusyBox ซึ่งไม่ได้มีช่องโหว่ Roel Schouwenberg นักวิจัยอาวุโสของ Kaspersky Lab กล่าวใน Twitter
ใจอ่อนหรือไม่
คุณสามารถตรวจสอบว่าคุณมีความเสี่ยงหรือไม่โดยการเรียกใช้คำสั่งต่อไปนี้ (รหัสที่จัดทำโดย CSA) เปิดหน้าต่างเทอร์มินัลและป้อนคำสั่งต่อไปนี้ที่พร้อมท์ $:
env x = '() {:;}; echo เสี่ยง 'bash -c "echo นี่เป็นการทดสอบ"
หากคุณมีความเสี่ยงจะพิมพ์:
อ่อนแอ
นี่คือการทดสอบ
หากคุณอัปเดต Bash คุณจะเห็นเฉพาะ:
นี่คือการทดสอบ
โดยปกติแล้วฉันจะบอกว่าไปข้างหน้าและแก้ไขทันที แต่ปรากฎว่าแพทช์ที่มีไม่สมบูรณ์ ยังมีอีกหลายวิธีในการฉีดคำสั่งผ่านตัวแปรสภาวะแวดล้อมแม้จะทำการปะ Bash แล้ว Red Hat กล่าวเมื่อเช้านี้ หากคุณมีเครื่องจักรเพียงหยิบมือหนึ่งมันอาจคุ้มค่าที่จะไปข้างหน้าและใช้โปรแกรมแก้ไขที่มีอยู่ แต่ถ้าคุณมีเครื่องจักรหลายพันเครื่องที่จะแก้ไขอาจจะคุ้มค่าที่รออีกไม่กี่ชั่วโมง การแจกจ่าย Linux ทั้งหมด (และหวังว่า Apple!) กำลังดำเนินการแก้ไขอยู่ในขณะนี้
Graham Cluley ผู้ให้คำปรึกษาด้านความปลอดภัยอิสระกล่าวว่า "จำไว้ว่าแม้ว่าคุณไม่เคยได้ยิน Bash มาก่อนหรือไม่ได้รันก็ตามคุณอาจมีซอฟต์แวร์ที่ทำงานอยู่ในคอมพิวเตอร์ของคุณ