פגם בסיסי חמור מאפשר לתוקפים לחטוף מחשבי לינוקס ומקי מק

מומחי אבטחה אמרו כי באג שהתגלה בבאש, מתורגמן פיקודי בשימוש נרחב, מהווה סיכון אבטחה קריטי למערכות יוניקס וללינוקס. וכי שמא תתפתו לבטל את הבעיה כרגע כבעיית שרת, זכרו שמערכת ההפעלה Mac OS X משתמשת בבאש. מומחים רבים מזהירים שזה יכול להיות גרוע יותר מ- Heartbleed.

הפגיעות קיימת ברוב הגרסאות של באש, מגירסה 1.13 עד 4.3, לפי סטפן צ'אזלס, רשת ומנהלי טלקום של יוניקס ולינוקס באקמאי, שחשפה לראשונה את הבאג. צוות תגובת החירום למחשבים (CERT) במחלקה לביטחון פנים הזהיר בהתראה כי אם הוא מנוצל, הפגיעות עלולה לאפשר להאקר מרוחק לבצע קוד זדוני במערכת מושפעת. מאגר הפגיעות של NIST דירג את הבאג 10 מתוך 10 מבחינת חומרתו.

"פגיעות זו עשויה להיות עניין גדול מאוד", אמר טוד בירדסלי, מנהל ההנדסה ב- Rapid7.

הפגיעות קשורה לאופן שבו באש מטפל במשתני סביבה. בעת הקצאת פונקציה למשתנה, כל קוד נוסף בהגדרה יבוצע גם הוא. אז כל מה שתוקף צריך לעשות הוא איכשהו להוסיף חבורה של פקודות בהגדרה הזו - התקפת הזרקת קוד קלאסית - והם יוכלו לחטוף מרחוק את המכונה המושפעת. חז"ל וחוקרים אחרים שבחנו את הפגם אישרו שניתן לנצל אותו בקלות אם מוזרק את הקוד למשתנים סביבתיים, כמו תכונת ForceCommand במערכת OpenSSH sshd, mod_cgi ו- mod_cgid במודלי שרת HTTP של אפאצ'י, או סקריפטים המגדירים את סביבה ללקוחות DHCP.

ג'ים רייוויס, המנהל הראשי של ה- Cloud Security Alliance, כתב מספר גדול של תוכניות על לינוקס ומערכות UNIX אחרות משתמשות באש כדי להגדיר משתנים סביבתיים המשמשים אז תוך הפעלת תוכניות אחרות.

השוואה בלתי נמנעת מהלב

שקול שני דברים לגבי פגיעות זו: שרתי לינוקס / יוניקס נמצאים בשימוש נרחב במרכזי נתונים ברחבי העולם כמו גם במוטבעים במכשירים רבים; הפגיעות קיימת כבר שנים. מכיוון שבש נפוצה כל כך, ההשוואה ל- Heartbleed, הפגיעות ב- OpenSSH שהתגלה כבר באפריל היא בלתי נמנעת. רוברט גרהאם מאיראטה אבטחה כבר דיבב את הפגם ShellShock.

אבל האם זה Heartbleed 2? קצת קשה לדעת. זה בהחלט נושא רציני, מכיוון שהוא נותן לתוקפים גישה למעטפת הפקודה, שהיא כרטיס הזהב ליכולת לעשות כל מה שהם רוצים במכונה ההיא.

בואו נחשוב מבחינת הגודל. שרתי רשת אפאצ'י מחזקים את הרוב העצום של אתרי האינטרנט בעולם. כפי שלמדנו במהלך Heartbleed, יש המון מכונות שאינן לינוקס / יוניקס המשתמשות ב- OpenSSH וטלנט. ו- DHCP עוזרת להקל עלינו לקפוץ לסירוגין ברשתות. המשמעות היא שבנוסף למחשבים ושרתים, יתכן שמערכות משובצות אחרות, כמו נתבים, חשופות גם לחטיפה. גרהם של ארטה אבטחה - שעשה כמה מהניתוחים היסודיים ביותר של הבאג עד כה - ביצע כמה סריקות ובקלות מצא כמה אלפי שרתים פגיעים, אבל קצת קשה בשלב זה להעריך את גודל הבעיה.

עם זאת, הפגם של Heartbleed היה קיים רק בהתקנת גירסה פגיעה של OpenSSL. באג זה אינו פשוט.

"זה לא 'פשוט' כמו 'להפעיל את בש', " אמר בירדסלי. כדי שהמכונה תהיה חשופה להתקפה, צריכה להיות יישום (כמו אפאצ'י) שמכניס קלט למשתמש (כמו כותרת User-Agent) ומכניס אותו למשתנה סביבה (שעושה סקריפטים של CGI), אמר. בדרך כלל לא יושפעו מסגרות אינטרנט מודרניות, אמר.

ייתכן שזו הסיבה שגרהאם אמרה בעוד שלשוק חמורה כמו Heartbleed, "אין צורך למהר ולתקן את הבאג הזה. השרתים העיקריים שלך כנראה אינם חשופים לבאג זה."

אך לפני שנפרק על נתבים ומכשירים משובצים (ואינטרנט הדברים), קחו בחשבון שלא כל המערכות משתמשות בבאש. אובונטו ומערכות אחרות הנגזרות של דביאן עשויות להשתמש במתורגמן פיקוד אחר בשם Dash. מכשירים משובצים משתמשים לעתים קרובות במכשיר שנקרא BusyBox, שאינו פגיע, כך אמר טוויל, Roel Schouwenberg.

פגיע או לא?

אתה יכול לבדוק אם אתה פגיע על ידי הפעלת הפקודות הבאות (קוד המסופק על ידי CSA). פתח חלון מסוף והזן את הפקודה הבאה בשורת $:

env x = '() {:;}; הד פגיע 'bash-c "הד זה מבחן"

אם אתה פגיע הוא ידפיס:

פגיע

זה מבחן

אם עדכנת את Bash תראה רק:

זה מבחן

בדרך כלל, הייתי אומר קדימה לתקן מייד, אבל מסתבר שהטלאים הזמינים אינם שלמים. ישנן עדיין דרכים להזריק פקודות באמצעות משתנים סביבתיים גם לאחר תיקון הבש, אמר רד האט הבוקר. אם יש לכם רק קומץ מכונות, אולי כדאי להמשיך ולהחיל את הטלאים הזמינים, אבל אם יש לכם אלפי מכונות לתיקון, אולי כדאי לחכות עוד כמה שעות. כל ההפצות לינוקס במעלה הזרם (ובתקווה שאפל!) עובדות עכשיו על תיקון.

יועץ האבטחה העצמאי גרהאם קלולי אמר כי "זכור, גם אם מעולם לא שמעת על באש בעבר, או שאתה לא מפעיל אותה, יתכן מאוד שתהיה במחשב תוכנה שמפעילה תהליכי בש".