Shellshock je prý ještě horší než Heartbleed. Jak se před ním chránit?

Martin Koldovský | 29.09.2014 | Aktuality, Bezpečnost | Žádné komentáře

Protože nedávno objevená zranitelnost Shellshock je stále aktuální téma, získali jsme na toto téma komentář bezpečnostního odborníka Martina Koldovského ze společnosti Check Point s radami, jak se před Shellshockem bránit.

Riziko zranitelnosti Shellshock vidím dokonce značně vyšší než u slabiny Heartbleed knihovny OpenSSL, říká Koldovský, protože tato slabina umožňuje přístup přímo do příkazového interpreteru často s vysokými či nejvyššími právy. Bash bývá také často součástí nejen plnohodnotných OS, ale také uživateli a výrobci špatně udržovatelných a udržovaných specializovaných zařízení, jako jsou routery, síťová úložiště NAS a podobně. Routery jsou navíc často dostupné přímo na Internetu, a tak je jejich zneužití velmi reálné.

Bash může být přes síť nepřímo dosažitelný v různých scénářích, nejen jako příkazový interpret v ověřované relaci přes SSH nebo telnet, ale také jako prostředí pro zpracování požadavků v rámci webových aplikací (rozhraní mezi webserverem a skriptem – CGI). CGI intenzivně využívá proměnné prostředí pro předáváni vstupu skriptu, což souvisí s předmětem chyby. Do proměnných prostředí v CGI se ukládají také informace z HTTP protokolu, takže kód zneužívající slabinu může být zaslán také v HTTP hlavičkách, například pro nastavení cookie a podobně.

Pro ochranu před zneužitím zranitelnosti je vhodné dodržovat následující základní rady:
Segmentace – Oddělit a zbytečně nepublikovat do Internetu a sítí systémy, na které není třeba volný přístup (řídit přístup ke službám firewallem).

Pokud je systém publikován, je potřeba mít možnost jej ochránit bezpečnostní vrstvou, jako je IPS, která umožní rychlé nasazování ‚virtualních patchů‘. Zabrání tedy zákeřným požadavkům přes síť i dříve než jsou cílové systémy aktualizovány a slabina odstraněna.

Neprovozovat zranitelný systém – Důležitá je rychlá a účinná distribuce aktualizací.

Řada systémů s bashem jsou specializované systémy často opomíjené nejen jejich uživateli, ale také výrobci, takže zajistit aktualizaci firmwaru může být problematické nebo dokonce nemožné. Další ochranná opatření jako firewall nebo IPS tak hrají důležitou roli v ochraně systémů a jejich uživatelů.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


+ sedm = třináct

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz