Shellshock היא פירצת אבטחה חמורה שזכתה לסיקור מינימלי – למה?

נראה שפירצת Shellshock קיבלה הרבה פחות סיקור בתקשורת מאשר פירצת Heartbleed שנחשפה באפריל ויצרה הדים נרחבים ברחבי העולם עם איומי יום הדין שמזכירים את באג 2000. יכול להיות שקהילת אבטחת המידע נפלה קורבן לקריאות ”זאב זאב” שבסוף לא הוכיחו את עצמן?

תמונה: flickr, cc-by, Tawheed Manzoor

תמונה: flickr, cc-by, Tawheed Manzoor

כאשר פירצת Heartbleed נחשפה בחודש אפריל, היא הגיעה למהדורות החדשות בטלוויזיה, והציפה את כל האתרים ברשת. מומחי אבטחת מידע הצהירו הצהרות בסגנון “האינטרנט עומד לקרוס בכל רגע” והכתבים עטו עליהן ברעבתנות. היה לה אפילו לוגו מגניב שאפשר ליצור היסטריה ממותגת עם רייטינג גבוה.

Heartbleed, לוגו קליל ופשוט שתרם לפאניקה סביבה

הלוגו של Heartbleed

בסופו של דבר התברר שמדובר אכן בפרצה חמורה שמאפשרת זליגת מידע מאתרים שכביכול מוגנים ב-HTTPS, אבל תוך שבועיים עודכנו כל ה-certificates בשרתי הווב הגדולים, הרבה בזכות הרעש שהיא יצרה בתקשורת, כך שהיא בעצם איבדה מהתוקף שלה.

לעומתה, פירצת Shellshock קיבלה שמות רבים, ונשמעה פחות ברורה ומאיימת לכתבים עם הסברים כמו “הפרצה מאפשרת גישת אדמין ל-Bash בשרתים ותחנות מבוססי Unix ו-Linux”. כמו בכתבה הבאה.

כך קרה שכאשר מומחי אבטחת המידע שוב יצאו בהצהרות יום הדין בחודש שעבר, בלי מיתוג תקשורתי חזק לפרצה, קיבלה Shellshock חשיפה מינימלית ופטרו אותה בכך ש”שוב התגלתה פרצה שלא תהיה רלוונטית תוך שבועיים אחרי שכולם יעדכנו את המערכות שלהם”.

אז מה כל כך מסוכן בפירצת Shellshock?

הפירצה שפורסמה תחת המזהה CVE-2014-6271 קיבלה דירוג של 10 מתוך 10 עבור רמות ההשפעה, התפוצה והנצילות הפוטנציאליות שלה. עבור אלה שמיהרו לעדכן מיד כשיצא, חשוב לציין שהתיקון הראשון לא מגן על מערכות בצורה מלאה, והתיקון המלא יצא בהמשך תחת המזהה CVE-2014-7169.

פירצת Shellshock משפיעה על Bash, קיצור של GNU Born Again Shell, שהוא בעצם כלי command line שמאפשר שליטה במגוון רחב של מערכות הפעלה מבוססות Unix ו-Linux (בינן גם OSX). ברגע ש-Bash מוגדר בתור ברירת המחדל של מערכת ההפעלה, הוא חושף אותה למגוון רחב של התקפות מבוססות סקריפטים, החל מ-telnet וסשנים של SSH ועד שאילתות web. מספר סקריפטים שמנצלים את הפרצה כבר מסתובבים ברשת ומתחילים להיות משולבים בהתקפות אוטומטיות.

על פי מחקרים של מספר חברות אבטחה שמפעילות honeypots שמדמות מערכות רגישות, מתבצעות סריקות אוטומטיות על טווחי IP ברחבי האינטרנט שנועדות לגלות מערכות רגישות, וקיימות כבר שתי תולעים שיודעות לנצל את הפרצה על מנת להתקין נוזקות מסוגים שונים. הנוזקות הופכות את אותן מערכות ל-bots שמתחברים לשרתי c&c – command and control, משם יכולים התוקפים לשלוח פקודות שונות, כאשר בשלב זה משמשות רובן להתקפות DDOS ממוקדות.

לפי הערכות של מספר חוקרי אבטחה, בין 70%-90% מהמכונות והשרתים המחוברים לאינטרנט חשופים לפרצה. בנוסף לכך, אין צורך באותנטיקציה כאשר מנצלים את פרצת ה-Bash באמצעות סקריפט CGI, מה שיקשה מאוד לנטר את כמות המערכות שנפגעו.

אבל מה שכנראה ישאיר את הפרצה בתפוצה לאורך זמן הם רכיבי חומרה כמו נתבים, מצלמות רשת ומכשירים חכמים שמתבססים על סקריפטים של Bash בכדי להריץ פקודות. זה כולל גם דיסקים חיצוניים עם גישה לאינטרנט כמו Seagate GoFlex Home Drive וכונני NAS.

אם נוסיף לכך את העובדה שהפרצה משפיעה על כל גרסאות ה-Bash שקיימות במכשירים כאלה ב-25 השנים האחרונות, כאשר רבים מהם כבר אינם מקבלים עדכוני firmware, ורוב המשתמשים הביתיים לא מבצעים עדכוני חומרה בכל מקרה, המסקנה המתבקשת היא שמדובר בפרצה שתישאר איתנו בשנים הקרובות.

אז זה הזמן להתנתק מהאינטרנט ולחזור למכונות כתיבה?

חשוב לא להגזים בנזק הפוטנציאלי של פרצת Shellshock. לא קיימת סופר-פרצה אחת ש”תשבור את האינטרנט”. אמנם היא משמעותית הרבה יותר מפרצת Heartbleed שרק אפשרה גניבת מידע, בכך שהיא נותנת גישת אדמין למערכת, אבל לא ניתן ליישם אותה על כל מערכת שחשופה לפרצה.

כדי לנצל את הפרצה צריך שיהיה שירות פתוח שקורא ל-Bash, אבל ברוב המקרים פורטים של שירותים אינם פתוחים בחומת האש. השירותים שאותם כן פותחים בדרך כלל הם DNS DHCP, SMTP/IMAP/POP3 ו-HTTP/HTTPS. אמנם כבר הצליחו להדגים מקרים בהם ניתן לנצל שירותי DNS ו-DHCP שמשתמשים בסקריפטים של Bash כדי לנהל שיוכי IP למשתמש, ושירותי SMTP שמשתמשים בסקריפטים של Bash כדי לעבוד עם שירותי סינון ספאם חיצוניים, אבל יהיה קשה ליישם עליהם את הפרצה.

כך שאם נחזור להערכה שבין 70%-90% מהמכשירים והשרתים המחוברים לאינטרנט חשופים לפרצה, ונקזז מהם את אלה שאין להם פורטים פתוחים לאינטרנט ואת אלה שפותחים פורטים עם שירותים שלא משתמשים ב-Bash נגיע אולי ל-5%. בשורה התחתונה גם 5% הוא מספר משמעותי ביותר, וכמובן שיהיה ניתן להשתמש בשרתים שנפרצו על מנת לתקוף מכשירים שאינם חשופים לפרצה.

איך נבדוק אם המערכות שלנו חשופות ל-Shellshock ונעדכן אותן?

ניתן לבדוק את המערכת בהרצת הפקודה הבאה בטרמינל:

env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’

אם המערכת שלכם אינה חשופה לפרצה, תקבלו את התוצאה הבאה:

bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x’ hello

אם המערכת חשופה לפירצה תקבלו את התגובה:

vulnerable hello

הדרך הפשוטה ביותר היא בדיקה של גרסת ה Bash שלכם ע”י הפקודה:

bash –version

אם תקבלו את גרסה 3.2.51(1) ומטה בתגובה, סימן שאתם חשופים לפרצה. יכול גם להיות ש-Bash מותקן על המערכת שלכם אבל לא פעיל בזמן הרצת הפקודה. כדי לבדוק מומלץ להריץ את הפקודה:

echo “$BASH_VERSION”

אם הערך שמתקבל הוא ריק, סימן שאתם לא מריצים Bash בזמן הרצת הפקודה.

לאתר המרכז גרסאות עדכניות של תיקונים נוספים למערכות לינוקס היכנסו לקישור הבא.
כדי לעדכן מערכות מק היכנסו לקישור הבא.

וכמובן, חשוב להתקין אנטי וירוס גם על שרתים ותחנות מבוססי לינוקס ומק, שכמו שאנחנו רואים שוב ושוב בשנים האחרונות, אינם חסינים מפרצות ונוזקות.



הכתבה בחסות ESET

חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה - ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android - מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.


בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT  בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.


בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות, 
עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.

אמיר כרמי

לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security

הגב

12 תגובות על "Shellshock היא פירצת אבטחה חמורה שזכתה לסיקור מינימלי – למה?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
omri
Guest

Good summary. Thank you

shrek0
Guest

סיקור יפה, רק תיקון קטן:
התוצאה שהצגת כמערכת שלא חשופה לפרצה היא לא נכונה, מדובר בעדכון הביניים שעדיין היה חשוף לפרצה.
לאחר התיקון הסופי הפלט צריך להיות אך ורק “hello”.

אמיר כרמי
Guest

תודה על העדכון שרק :)

t
Guest

בלינוקס זה לא היה קורה!
….
בעצם….
…. …. …. שיט….

אני
Guest

כדי לבדוק גרסת bash צריך להריץ את הפקודה הזו:
שני מקפים bash –version ולא bash –version

אמיר כרמי
Guest

צודק, מקף אחד נפל בעריכה :)
בכל מקרה מומלץ להתעדכן מהאתר שאיציק המליץ עליו לגבי העדכונים האחרונים.

Neta
Guest

תודה על הכתבה החשובה.

מי שמפתח תוכנה צריך לזכור, בנוסף, שכל שנה מדווחות עוד מאות פרצות (Security Vulnerabilities) ברכיבי קוד פתוח.
כלומר, מי שמשלב קוד פתוח בתוכנה שהוא מפתח (וכולם עושים זאת), צריך לנהל אותו – לדעת אילו רכיבי קוד פתוח יש לו בתכנה (כולל רכיבים שהקוד הפתוח עצמו משתמש בהם) ולעקוב באופן רציף אחרי פרסומים על פרצות אבטחה, באגים ופאצ’ים לרכיבים האלו.

מי שרוצה לשמוע יותר מוזמן לבקר אצלנו ב-whitesourcesoftware.com

איציק
Guest

הבדיקה המוצעת בכתבה כבר מזמן נסגרה, אבל יש עוד מספר פרצות נוספות שהתגלו בהמשך ושלא בטוח שכולם עדכנו לגרסאות שסוגרות אותן.
יש אתר מסודר שמרכז את המידע בנושא http://www.shellshocker.net

אמיר כרמי
Guest

תודה איציק,

באמת במקרים כאלה כשמדובר במספר פאצ’ים מומלץ להתעדכן מהאתר.

עובר אורח
Guest

עובד ב-ESET ולא יודע ש-CVE זה מזהה חולשה ולא מזהה תיקון?!

Tom
Guest

כשאני מריץ את הפקודה לבדיקה מהכתבה אני מקבל שהמערכת שלי חשופה לפירצה, למרות שהגרסה גבוהה מזאת שציינתם. מה יכולה להיות הבעיה?

אמיר כרמי
Guest

שלום תום,

שים לב שהסקריפטים עודכנו, ויצאו מספר פאצ’ים מאז שכתבתי את הכתבה.
אפילו גרסה 4.3 חשופה עדיין לחלק מהפירצות.

בקישור הנ”ל תמצא פקודות עדכניות לבדיקה אם אתה חשוף לאחת הפירצות:
https://shellshocker.net/

wpDiscuz

תגיות לכתבה: