#Shellshock פריצת אבטחה גדולה יותר מ"Heartbleed " ואך מתגוננים?

יש לכם שרת לינוקס? ההפצה הכי חדשה של אותו ונדור? אתם חושבים שאתם מוגנים?

Patch In Few Minutes

Bash (בעברית: באש) הוא פירוש של Bourne-again shell (משחק מילים של מעטפת נולדה מחדש) והיא מעטפת פקודות של לינוקס , הבאש משמש לזיכרון של פקודות, שליטה בתהליכי המשתמש , כינויים לפקודות ארוכות (דומה למאקרו) קריאה לפקודות אחרות כמו Apache וכו'

הפריצה מאפשרת לפורץ להריץ פקודות באש מעבר לסיום הפקודה המוחל, מי שמצא את הפריצה היא חברת AKAMAI ובה החוקר Stephane Chazelas שהתריע על אחת מהפרצות הגדולות ביותר בעולם הלינוקס שכן כמעט כל אתרי האינטרנט ומערכות מגוונות החל מטלפונים סלולאריים, שרתים, שרותי ענן של חברות ענק וכו' ומצא פגם חמור ב Unix Bash shell (אולי קצת הגזימו עם הכותרות בעולם) אבל הבעיה היותר רצינית היא הזמן בו הפריצה תמשיך להתקיים שכן לא ניתן לעדכן את כל אותם המכשירים שקיימים היום (שרתים ישנים מאוד, או ארגונים קטנים שלא מודעים בכלל לפריצה או לעדכונה) לפי חברות אבטחה נוספות הפריצה הזו קיימת שנים והיא מאפשרת לפורץ להריץ כל פקודה שהפורץ רוצה על השרת לאחר שביצע Exploit, ויכול להפוך שרתים לבוטים שבהם יוכל לבצע מתקפות מניעת שירות.

ההפצות הגדולות ביותר של לינוקס כבר הוציאו פאצ' (Patch) על מנת לחסום את ShellShock ובניהן דביאן , אובונטו, רדהאט, סנטאוהס שמות הקוד של הפריצה הן:  CVE-2014-6271 and CVE-2014-7169 וההודעה על Shellshock (מפי ההפצות הראשיות) ששרת שלא עודכן ב 24 שעות האחרונות לא חסין מפני פריצה זו.
הרבה אתרים מתארים את Shellshock כווירוס הרסני ואף כמה אתרים יצאו בהצהרות כמו , נפילת האינטרנט ומומחי אבטחה למינהם כבר הודיעו שהאינטרנט לא בטוח וכו' וכו' אך Shellshock אינו ווירוס וחלק מהמשתמשים בפורמי לינוקס השונים קוראים לו בכלל BUG ואומרים כי אפילו לא קרוב לHeartbleed אבל אני יתן לכם לבדוק זאת…

שלא תטעו אני לא אומר שזה לא חמור יותר מ HeartBleed  שכן התוקף צריך גישה לשורת הפקודות של שרת הלינוקס ואם הוא קיבל גישה לשורת הפקודות אז אתם כבר בבעיה עוד לפני ה Shellshock … או שאותו פורץ חייב להריץ Exploit על השרת…

אז אך חוסמים את Shellshock ? ואך בודקים האם אתם חשופים?

כמה אתרים שמבצעים בדיקה:

בודק את האתר (מומלץ)

http://shellshock.brandonpotter.com

בודק CGI

http://bashsmash.ccsir.org

אתר נוסף

http://www.shellshocktest.com

אתר נוסף

https://shellshocker.net

הקישו את הפקודה

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

אם קיבלתם את הפלט

זה אומר שהמערכת שלכם ללא עדכון של Bash וShellshock קיים…

אבל אם במקום ה Valnerable קיבלתם

warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test

זה אומר שהמערכת שלכם מוגנת

פשוט, אם ברשותכם אחת מההפצות הגדולות ( Ubuntu Centos Fedora Debian Redhat והפצות נוספות) הקישו את הפקודה:

להפצת Centos REDHAT וכו'

yum update bash -y

להפצת Ubuntu

apt-get update; apt-get upgrade;

ל Archlinux

pacman -Syu

הגרסה המעודכנת ביותר לCentos היא

bash-4.1.2-15.el6_5.2.x86_64.rpm