Top.Mail.Ru
? ?

Previous Entry | Next Entry

Меня часто спрашивают о безопасном доступе к NAS извне. Я традиционно отвечаю, что мне он не известен и раз за разом приходят грустные подтверждения. Недавний Heartbleed nas4free не затронул, а вот свежачок - вполне.

1. Сообщение на Securitylab, для тех, кто предпочитает источники. Там же патч для Debian
2. Один из многих онлайн тестов сайтов на уязвимость

3. Понятным языком про суть проблемы

Свежачок, он весьма относительный - от роду более 20 лет, просто недавно стал общеизвестным. Уязвима одна из самых популярных командных оболочек UNIX/Linux - bash. Потенциально уязвимые системы - не только серверы, но любые *nix устройства, имеющие сетевую функциональность  - принтеры, роутеры, точки доступа. Даже планшеты со смартфонами. Но наматывание соплей на кулак оставим на другой раз, а пока что делаем дома.

Начать проверки вашего роутера. В командной строке исполнить следующее
env x='() { :;}; echo vulnerable' bash -c 'echo hello'



Уязвимая система выдаст
vulnerable
hello



Защищённая патчем
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello



Есть ещё неплохой для встраиваемой системы вариант, когда bash просто нет.
root@OpenWrt:~# export evil='() { :;}; echo vulnerable'; bash -c echo;
-ash: bash: not found
root@OpenWrt:~# env x='() { :;}; echo vulnerable' bash -c 'echo hello'
env: can't execute 'bash': No such file or directory



Пример реакции моего текущего роутера. Что не снимает пожелания отключить к нему доступ извне (WAN), вплоть до отказа от ответа на пинги.
UPD Что делать в уязвимом случае? Честно сказать, не знаю. Я бы отключил любой доступ извне, запретил пинги из WAN, посмотрел логи на предмет не залезли ли уже. Затем перезагрузил роутер и полез бы курить форум по нему /UPD
UPD2 Посмотрел про свой второй роутер, который пока выключен (ASUS RT-N56U с прошивкой padavan). Там без проблемы по той же причине. У нас bash не используется, шелл ash из busybox. /UPD2

Ну а теперь идём в ssh и смотрим, что про себя думает nas4free
nas4free ~/ root~$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
vulnerable
vulnerable
hello



Уязвимо, те пускать на NAS снаружи - просить неприятностей на 5 точку.

Для любопытства я потыкал Дюну - тоже уязвима. Но там защищённостью и не пахло.

Ну, дома разобрались - выходим на улицу. Пишут, что в принципе, поиметь проблемы можно просто подключившись к заражённой WiFi сети. Запросили IP по DCHP - и вуаля... Есть и сомнения, что так вот всё сработает на смартфонах - но лучше пока поосторожнее с публичными WiFi сетями...

И, наконец, на себя посмотрев, можно близкие вам лично сайты потестить - см выше.

Tags:

Comments

( 1 comment — Leave a comment )
blog4avatar
Sep. 27th, 2014 10:54 pm (UTC)
Пишут, что в принципе, поиметь проблемы можно просто подключившись к заражённой WiFi сети. Запросили IP по DCHP - и вуаля...

Это касается только клиентов, которые используют bash. Т.е. допустим Windows телефоны и компьютеры не пострадают, а вот непатченые Linux машины и Android-ы легко. Насчет Apple - не скажу. Знаю, что bash в MacOS присутствует и тоже уязвим, причем есть даже подтвержденные возможности локального повышения привилегий, но вот используется ли bash в dhcp-клиенте неизвестно, так что следует соблюдать осторожность. Насчет IOS я не в курсе, может кто из продвинутых эпловодов отпишется.

( 1 comment — Leave a comment )

Latest Month

September 2023
S M T W T F S
     12
3456789
10111213141516
17181920212223
24252627282930

Tags

Page Summary

Comments

Powered by LiveJournal.com