Bashbugg | Virushotet mot OS X, UNIX, Linux

VIRUSDEFINITION

Virustyp: virus/bugg/skadlig programvara
kallas även: CVE-2014-6271

Vad är bashbuggviruset för något?

Bashbuggen är en sårbarhet i Shellshock och utgör ett allvarligt hot mot alla användare. Hotet använder systemprogramvaran Bash i Linux- och Mac OS X-system för att ge angriparna möjlighet att ta kontrollen över elektroniska enheter. En angripare kan helt enkelt köra kommandon på systemnivå med samma privilegier som de drabbade tjänsterna.

Det gör att en angripare kan bifoga en skadlig körbar fil till en variabel som utförs när Bash anropas.

I de flesta av exemplen på internet just nu ger sig anfallarna på webbservrar som kör CGI-skript i Bash.

I skrivande stund har sårbarheten redan använts i skadliga syften. Den har smittat sårbara webbservrar med skadlig programvara och även använts i hackerattacker. Våra forskare samlar kontinuerligt in nya prover och indikationer på smittor utifrån den här sårbarheten och mer information om den här skadliga programvaran publiceras inom kort.

Sårbarheten förekommer i kommandotolken Bash och ger angriparen möjlighet att köra kommandon på systemnivå med variabler i Bash-miljön.

Så fungerar Bashbuggen

Ett CGI-skript på en webbserver läser automatiskt vissa miljövariabler, till exempel din IP-adress, webbläsarversion och information om det lokala systemet.

Föreställ dig då att du, förutom att skicka vanlig systeminformation till CGI-skriptet, även talar om för skriptet att köra kommandon på systemnivå. Detta skulle innebära att CGI-skriptet läser dina miljövariabler utan att ha fått inloggningsuppgifter till webbservern så snart du har åtkomst till skriptet. Om attacksträngen finns bland dessa miljövariabler kan skriptfilen utföra det kommando som du har angett.

Bashbuggens unika egenskaper:

Den är väldigt lätt att utnyttja.
Bashvirusets påverkan är väldigt omfattande.
Den påverkar all programvara som använder Bash-tolken.

Forskare försöker ta reda på om tolkar som PHP, JSP, Python eller Perl också är drabbade. Beroende på hur koden är skriven kan en tolk använda Bash för att utföra vissa funktioner och om det sker kan det bero på att andra tolkar också kan användas för att utnyttja sårbarheten CVE-2014-6271.

Påverkan är oerhört stor eftersom en hel del inbäddade enheter använder CGI-skript, till exempel routrar, hemelektronik och trådlösa åtkomstpunkter. De är också sårbara och ofta svåra att korrigera.

Så märker du om enheten är smittad

Det enklaste sättet att kontrollera om systemet är sårbart är att öppna Bash på ditt system och köra följande kommando:

Om tolken skickar tillbaka strängen "sårbar" bör du uppdatera systemet.

Red Hat inkluderar länkar till ett diagnostiksteg som gör att användare kan söka efter sårbara versioner av Bash – se https://access.redhat.com/articles/1200223

Ett annat sätt att se om du har drabbats av Bash-viruset är att granska dina HTTP-loggar och kontrollera om något verkar misstänksamt. Följande är ett exempel på ett skadligt mönster:

Det finns några patchar för Bash som loggar alla kommandon som skickas till Bash-tolken. Det här är ett bra sätt att se om någon har utnyttjat din dator. Det hindrar ingen från att utnyttja den här sårbarheten, men det registrerar angriparens åtgärder i systemet.

Så här stoppar du Bashbuggviruset

Det första du behöver göra är att uppdatera Bash-versionen. Olika Linux-distributioner erbjuder patchar för den här sårbarheten. Korrigeringar är ett första steg fastän alla patchar inte är beprövat effektiva än.

Om du använder IDS/IPS rekommenderar vi också att du lägger till/läser in en signatur för detta. Många offentliga regler har publicerats.

Gå även igenom din webbserverkonfiguration. Om det finns några CGI-skript som du inte använder kan du avaktivera dem.

Andra artiklar och länkar relaterade till Bashbuggviruset