Mikä on Shellshock-haavoittuvuus?

How to effectively deal with bots on your site? The best protection against click fraud.

Shellshock on yhteinen nimi useille Linux-suojausongelmille bash-kuoressa. Bash on oletuspääte monissa Linux-jakeluissa, mikä tarkoitti, että bugien vaikutukset olivat erityisen laajalle levinneitä.

Huomautus: Haavoittuvuus ei vaikuttanut Windows-järjestelmiin, koska Windows ei käytä Bash-kuorta.

Syyskuussa 2014 turvallisuustutkija Stéphane Chazelas löysi ensimmäisen ongelman Bashista ja ilmoitti siitä yksityisesti Bashia ylläpitävälle henkilölle. Hän työskenteli Bashin ylläpidosta vastaavan kehittäjän kanssa ja kehitettiin korjaustiedosto, joka ratkaisi ongelman. Kun korjaustiedosto oli julkaistu ja ladattavissa, bugin luonne julkaistiin yleisölle syyskuun lopussa.

Muutaman tunnin sisällä bugin ilmoittamisesta sitä hyödynnettiin luonnossa ja yhden päivän sisällä DDOS-hyökkäyksiin ja haavoittuvuuksiin käytettiin jo aiemmin hyväksikäyttöön perustuvia botnet-verkkoja skannaa. Vaikka korjaustiedosto oli jo saatavilla, ihmiset eivät voineet ottaa sitä käyttöön tarpeeksi nopeasti välttääkseen hyväksikäytön kiirettä.

Muutaman seuraavan päivän aikana tunnistettiin viisi muuta haavoittuvuutta. Korjaustiedostoja kehitettiin ja julkaistiin jälleen nopeasti, mutta aktiivisesta hyödyntämisestä huolimatta päivitykset eivät vieläkään olleet väistämättä sovellettava välittömästi tai jopa saatavilla välittömästi kaikissa tapauksissa, mikä johtaa enemmän vaarantumiseen koneita.

Haavoittuvuudet johtuivat useista vektoreista, mukaan lukien CGI-pohjaiset verkkopalvelinjärjestelmäkutsut, joita on käsitelty väärin. OpenSSH-palvelin salli oikeuksien korottamisen rajoitetusta komentotulkista rajoittamattomaan komentotulkkuun. Haitalliset DHCP-palvelimet pystyivät suorittamaan koodia haavoittuville DHCP-asiakkaille. Viestien käsittelyssä Qmail salli hyödyntämisen. IBM HMC: n rajoitettua komentotulkkia voidaan hyödyntää päästäkseen käsiksi täydelliseen bash-kuoreen.

Virheen laajalle levinneen luonteen sekä haavoittuvuuksien vakavuuden ja hyväksikäytön kiireen vuoksi Shellshockia verrataan usein "Heartbleediin". Heartbleed oli OpenSSL: n haavoittuvuus, joka vuoti muistin sisällön ilman käyttäjän toimia.