Высокая доступность сайта
Защита сайта

Новая 0day уязвимость: ShellShock

В прошлую среду, 24 сентября, было заявлено о новой уязвимости, ShellShock, которой подвержены большинство Linux-серверов (и оборудования под управлением Linux — например, маршрутизаторы и роутеры). Уязвимость касается использования bash-оболочки для выполнения команд (установлена по умолчанию) и может быть использована при обработке HTTP-запросов через CGI (bash-скрипты).

Также вектор атаки возможен через DHCP на Linux-компьютеры пользователей при запросе на получение IP-адреса (т.е. инфицированный DHCP-сервер может автоматически заразить Linux-компьютеры в подсети).

Как проверить уязвимость сервера

Самым простым способом является исполнение кода (безопасного) в командной строке:

env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Уязвимая система вернет:

vulnerable
hello

Если проблем с безопасностью нет, то будет выведены предупреждение и ошибка, vulnerable не выведется.

Также можно воспользоваться формой для проверки наиболее популярных CGI-адресов вашего сайта. Сервис отправит запрос по вектору атаки для выполнения удаленной команды (безопасной для сервера).

Масштаб бедствия

Лучше всего про уязвимость написал Степан Ильин, экс-главный редактор «Хакера». Основным вектором атаки являются CGI-скрипты под управлением Apache (или nginx). Вектора атаки для PHP-кода (даже при условии использования системных вызовов) не выявлено. Возможна атака и через DHCP (и сервера провайдеров, раздающих IP-адреса внутренней подсети должны быть в первую очередь обновлены).

Более подробно о уязвимости от ESET NOD32 и Positive Technologies.

Резюме: если не используете CGI-скрипты для обработки внешних запросов на ваш сайт, можно спать спокойно. Но если у вас от хостинг-провайдера настроены какие-либо CGI-интерфейсы (например, AWStats), то нужно срочно отключать эти интерфейсы.

Что делать

1. Если у вас сервер или виртуальный сервер, то обновить bash любым возможным способом. Для CentOS можно воспользоваться командой:

yum -y update bash

2. Если у вас виртуальный хостинг, то написать в техническую поддержку хостинг-провайдера с просьбой обновить bash и(или) отключить все CGI-скрипты у вас на сайте.

Защита Айри

Уже с пятницы прошлой недели Айри в автоматическом режиме блокирует запросы на эксплуатацию уязвимости ShellShock (если включена Базовая защита для сайта). Все клиенты Айри могут быть спокойными за свои сайты.