2gusia (2gusia) wrote,
2gusia
2gusia

Category:

ВАЖНО: жёсткая проблема с безопасностью bash (aka Shellshock)

Меня часто спрашивают о безопасном доступе к NAS извне. Я традиционно отвечаю, что мне он не известен и раз за разом приходят грустные подтверждения. Недавний Heartbleed nas4free не затронул, а вот свежачок - вполне.

1. Сообщение на Securitylab, для тех, кто предпочитает источники. Там же патч для Debian
2. Один из многих онлайн тестов сайтов на уязвимость

3. Понятным языком про суть проблемы

Свежачок, он весьма относительный - от роду более 20 лет, просто недавно стал общеизвестным. Уязвима одна из самых популярных командных оболочек UNIX/Linux - bash. Потенциально уязвимые системы - не только серверы, но любые *nix устройства, имеющие сетевую функциональность  - принтеры, роутеры, точки доступа. Даже планшеты со смартфонами. Но наматывание соплей на кулак оставим на другой раз, а пока что делаем дома.

Начать проверки вашего роутера. В командной строке исполнить следующее
env x='() { :;}; echo vulnerable' bash -c 'echo hello'



Уязвимая система выдаст
vulnerable
hello



Защищённая патчем
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
hello



Есть ещё неплохой для встраиваемой системы вариант, когда bash просто нет.
root@OpenWrt:~# export evil='() { :;}; echo vulnerable'; bash -c echo;
-ash: bash: not found
root@OpenWrt:~# env x='() { :;}; echo vulnerable' bash -c 'echo hello'
env: can't execute 'bash': No such file or directory



Пример реакции моего текущего роутера. Что не снимает пожелания отключить к нему доступ извне (WAN), вплоть до отказа от ответа на пинги.
UPD Что делать в уязвимом случае? Честно сказать, не знаю. Я бы отключил любой доступ извне, запретил пинги из WAN, посмотрел логи на предмет не залезли ли уже. Затем перезагрузил роутер и полез бы курить форум по нему /UPD
UPD2 Посмотрел про свой второй роутер, который пока выключен (ASUS RT-N56U с прошивкой padavan). Там без проблемы по той же причине. У нас bash не используется, шелл ash из busybox. /UPD2

Ну а теперь идём в ssh и смотрим, что про себя думает nas4free
nas4free ~/ root~$ env x='() { :;}; echo vulnerable' bash -c 'echo hello'
vulnerable
vulnerable
hello



Уязвимо, те пускать на NAS снаружи - просить неприятностей на 5 точку.

Для любопытства я потыкал Дюну - тоже уязвима. Но там защищённостью и не пахло.

Ну, дома разобрались - выходим на улицу. Пишут, что в принципе, поиметь проблемы можно просто подключившись к заражённой WiFi сети. Запросили IP по DCHP - и вуаля... Есть и сомнения, что так вот всё сработает на смартфонах - но лучше пока поосторожнее с публичными WiFi сетями...

И, наконец, на себя посмотрев, можно близкие вам лично сайты потестить - см выше.
Tags: it, nas, nas4free
Subscribe

  • Иноходец

    Садовник спросил у Эзопа - Почему за огородными растениями нужно ухаживать, а сорняки растут сами? - Потому, что одни для земли родные дети, а…

  • Простой и действенный способ продлить жизнь (но вам не понравится)

    Опубликована статья. "Castration delays epigenetic aging and feminizes DNA methylation at androgen-regulated loci" Причем не британскими, а…

  • Туплю

    В жару я тупею. :( То есть тело переносит вполне сносно (особенно если есть возможность холодного душа каждый час :) - а мозг сбавляет обороты.…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

  • 1 comment