Меня часто спрашивают о безопасном доступе к NAS извне. Я традиционно отвечаю, что мне он не известен и раз за разом приходят грустные подтверждения. Недавний Heartbleed nas4free не затронул, а вот свежачок - вполне.
1. Сообщение на Securitylab, для тех, кто предпочитает источники. Там же патч для Debian
2. Один из многих онлайн тестов сайтов на уязвимость
3. Понятным языком про суть проблемы
Свежачок, он весьма относительный - от роду более 20 лет, просто недавно стал общеизвестным. Уязвима одна из самых популярных командных оболочек UNIX/Linux - bash. Потенциально уязвимые системы - не только серверы, но любые *nix устройства, имеющие сетевую функциональность - принтеры, роутеры, точки доступа. Даже планшеты со смартфонами. Но наматывание соплей на кулак оставим на другой раз, а пока что делаем дома.
Начать проверки вашего роутера. В командной строке исполнить следующее
Уязвимая система выдаст
Защищённая патчем
Есть ещё неплохой для встраиваемой системы вариант, когда bash просто нет.
Пример реакции моего текущего роутера. Что не снимает пожелания отключить к нему доступ извне (WAN), вплоть до отказа от ответа на пинги.
UPD Что делать в уязвимом случае? Честно сказать, не знаю. Я бы отключил любой доступ извне, запретил пинги из WAN, посмотрел логи на предмет не залезли ли уже. Затем перезагрузил роутер и полез бы курить форум по нему /UPD
UPD2 Посмотрел про свой второй роутер, который пока выключен (ASUS RT-N56U с прошивкой padavan). Там без проблемы по той же причине. У нас bash не используется, шелл ash из busybox. /UPD2
Ну а теперь идём в ssh и смотрим, что про себя думает nas4free
Уязвимо, те пускать на NAS снаружи - просить неприятностей на 5 точку.
Для любопытства я потыкал Дюну - тоже уязвима. Но там защищённостью и не пахло.
Ну, дома разобрались - выходим на улицу. Пишут, что в принципе, поиметь проблемы можно просто подключившись к заражённой WiFi сети. Запросили IP по DCHP - и вуаля... Есть и сомнения, что так вот всё сработает на смартфонах - но лучше пока поосторожнее с публичными WiFi сетями...
И, наконец, на себя посмотрев, можно близкие вам лично сайты потестить - см выше.
1. Сообщение на Securitylab, для тех, кто предпочитает источники. Там же патч для Debian
2. Один из многих онлайн тестов сайтов на уязвимость
3. Понятным языком про суть проблемы
Начать проверки вашего роутера. В командной строке исполнить следующее
env x='() { :;}; echo vulnerable' bash -c 'echo hello'Уязвимая система выдаст
vulnerable hello
Защищённая патчем
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' hello
Есть ещё неплохой для встраиваемой системы вариант, когда bash просто нет.
root@OpenWrt:~# export evil='() { :;}; echo vulnerable'; bash -c echo;
-ash: bash: not found
root@OpenWrt:~# env x='() { :;}; echo vulnerable' bash -c 'echo hello'
env: can't execute 'bash': No such file or directoryПример реакции моего текущего роутера. Что не снимает пожелания отключить к нему доступ извне (WAN), вплоть до отказа от ответа на пинги.
UPD Что делать в уязвимом случае? Честно сказать, не знаю. Я бы отключил любой доступ извне, запретил пинги из WAN, посмотрел логи на предмет не залезли ли уже. Затем перезагрузил роутер и полез бы курить форум по нему /UPD
UPD2 Посмотрел про свой второй роутер, который пока выключен (ASUS RT-N56U с прошивкой padavan). Там без проблемы по той же причине. У нас bash не используется, шелл ash из busybox. /UPD2
Ну а теперь идём в ssh и смотрим, что про себя думает nas4free
nas4free ~/ root~$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
vulnerable
vulnerable
helloУязвимо, те пускать на NAS снаружи - просить неприятностей на 5 точку.
Для любопытства я потыкал Дюну - тоже уязвима. Но там защищённостью и не пахло.
Ну, дома разобрались - выходим на улицу. Пишут, что в принципе, поиметь проблемы можно просто подключившись к заражённой WiFi сети. Запросили IP по DCHP - и вуаля... Есть и сомнения, что так вот всё сработает на смартфонах - но лучше пока поосторожнее с публичными WiFi сетями...
И, наконец, на себя посмотрев, можно близкие вам лично сайты потестить - см выше.
Page Summary
Comments
- 1 Oct 2023, 06:04новое (для меня) прочтение старого анекдота, помянутого в конце февраля прошлого года:
Идет заяц вдоль скалы, смотрит ворона прыгает вниз, падает камнем, потом расправляет крылья и снова взлетает на… - 24 Sep 2023, 13:05Здравствуйте!
Система категоризации Живого Журнала посчитала, что вашу запись можно отнести к категории: Общество.
Если вы считаете, что система ошиблась — напишите об этом в ответе на этот… - 16 Sep 2023, 18:13Понимают... И рыдают от того, что оно неотвратимо! И мокши тоже рыдают! Всеобщая депрессия, что поделать... ;)
- 16 Sep 2023, 00:20Реальный мир заползает в бошки хороших русских
- 16 Sep 2023, 00:10…
Comments
Это касается только клиентов, которые используют bash. Т.е. допустим Windows телефоны и компьютеры не пострадают, а вот непатченые Linux машины и Android-ы легко. Насчет Apple - не скажу. Знаю, что bash в MacOS присутствует и тоже уязвим, причем есть даже подтвержденные возможности локального повышения привилегий, но вот используется ли bash в dhcp-клиенте неизвестно, так что следует соблюдать осторожность. Насчет IOS я не в курсе, может кто из продвинутых эпловодов отпишется.