Shellshock zəifliyi kimi də tanınan “bash bug” bütün istifadəçilər üçün ciddi təhlükə yaradır. Bu təhlükə, təcavüzkarların elektron cihazlara nəzarəti ələ keçirməsinə imkan vermək üçün Linux və Mac OS X sistemlərində ümumi olan Bash sisteminin zərərli proqramından istifadə edir. Təcavüzkar təsirə məruz qalan xidmətlərlə eyni imtiyazlara malik sistem səviyyəli əmrləri işlədə bilər.
VİRUS tərəifi
Virus növü: Virus / Bug / Zərərli proqram
Tərifi: CVE-2014-6271
Bu çatışmazlıq təcavüzkara Bash işə salındıqda icra edilən dəyişənə uzaqdan zərərli icraedici faylı yeritməyə imkan verə bilər.İnternetdəki əksər nümunələrdə təcavüzkarlar Bash dilində yazılmış CGI skriptlərini saxlayan veb serverlərə uzaqdan hücum edirlər.Yazı hazırlanarkən, zəiflikdən artıq zərərli məqsədlər üçün istifadə olunur, zəif veb serverləri zərərli proqram və haker hücumları ilə yoluxdurur. Tədqiqatçılarımız bu zəifliyə əsaslanaraq daim yeni nümunələr və virus imzaları toplayır. Bu zərərli proqram haqqında ətraflı məlumat tezliklə yayımlanacaq.Bu boşluq Bash əmr tərcüməçisində mövcuddur və təcavüzkarlara sistem səviyyəli əmrləri Bash mühit dəyişənlərinə əlavə etməyə imkan verir.
“Bash” Bug necə işləyir?
Əgər veb serverdə CGI əmri varsa, bu əmr avtomatik olaraq müəyyən mühit dəyişənlərini oxuyur. Məsələn; IP ünvanınız, brauzer versiyanız və yerli sistem məlumatınız.
Ancaq təsəvvür edin ki, bu normal sistem məlumatını CGI əmrinə ötürməklə yanaşı, siz komandaya sistem səviyyəsində əmrləri yerinə yetirməyi də söyləyə bilərsiniz. Bu o deməkdir ki, veb server heç bir giriş məlumatı olmadan CGI əmrinə daxil olan kimi mühit dəyişənlərinizi oxuya bilər. Bu mühit dəyişənləri istismar xəttini ehtiva edərsə, o, sizin təyin etdiyiniz əmri də yerinə yetirəcəkdir.
Bash səhvini unikal edən nədir?
- İstifadəsi çox asandır
- Baş virusunun təsiri çox ciddidir
- Bash tərcüməçisindən istifadə edən hər hansı proqram təminatına təsir edir
Tədqiqatçılar; PHP, JSP, Python və ya Perl kimi digər interpreters də təsirləndiyini anlamağa çalışırlar. Kodun necə yazılmasından asılı olaraq, tərcüməçi müəyyən funksiyaları yerinə yetirmək üçün əslində Bash-dan istifadə edir. Bu halda, digər tərcüməçilər də CVE-2014-6271 zəifliyindən istifadə etmək üçün istifadə edilə bilər.
Tədqiqatçılar; PHP, JSP, Python və ya Perl kimi digər tərcüməçilərin də təsirləndiyini anlamağa çalışırlar. Kodun necə yazılmasından asılı olaraq, tərcüməçi müəyyən funksiyaları yerinə yetirmək üçün əslində Bash-dan istifadə edir. Bu halda, digər tərcüməçilər də CVE-2014-6271 zəifliyindən istifadə etmək üçün istifadə edilə bilər.
Məsələn, marşrutlaşdırıcılar, məişət texnikası və simsiz giriş nöqtələri kimi CGI əmrlərindən istifadə edən çoxlu daxili qurğular olduğundan, onun təsiri inanılmaz dərəcədə yüksəkdir. Bunlar həssasdır və bir çox hallarda onları yamaq çətindir.
Cihazınızda virusun olub olmadığını necə müəyyənləşdirmək olar
Sisteminizin həssas olub olmadığını yoxlamağın ən asan yolu sisteminizdə Bash qabığını açmaq və aşağıdakı əmri yerinə yetirməkdir.
Shell “vulnerable” olaraq geri dönərsə, sisteminizi yeniləməlisiniz.
Red Hat istifadəçilərə həssas Bash versiyalarını sınamağa imkan verən diaqnostik addıma keçidləri ehtiva edir. Bax. https://access.redhat.com/articles/1200223
Bash virusunuz olub-olmadığını müəyyən etməyin başqa bir yolu HTTP qeydlərinizi yoxlamaq və şübhəli hər hansı bir şeyin olub olmadığını yoxlamaqdır. Aşağıda zərərli modelin nümunəsini tapa bilərsiniz
Bash tərcüməçisinə göndərilən hər əmri qeyd edən bəzi Bash yamaları da var. Bu, kiminsə maşınınızı istismar edib-etmədiyini görmək üçün yaxşı bir yoldur. O, kiminsə bu zəiflikdən istifadə etməsinə mane olmur, lakin sistemdə təcavüzkarın hərəkətlərini qeyd edir.
“Bash” erroru virusunu necə dayandırmaq olar?
Etməli olduğunuz ilk şey Bash versiyasını yeniləməkdir. Müxtəlif Linux versiyaları bu zəiflik üçün yamaqlar təklif edir. Bütün yamaqların həqiqətən təsirli olduğu sübut edilməsə də, yamaq edilməsi lazım olan ilk şeydir.
Əgər siz IDS/IPS istifadə edirsinizsə, bunun üçün imza əlavə etməyi/yükləməyi də tövsiyə edirik. Çoxlu sayda ictimai qaydalar dərc edilmişdir.
Həmçinin veb server konfiqurasiyanızı nəzərdən keçirin. İstifadə etmədiyiniz CGI əmrləri varsa, onları söndürməyi düşünün.
