Mis on Shellshocki haavatavus?

Shellshock on koondnimi paljudele Linuxi turbeprobleemidele bash-shellis. Bash on paljude Linuxi distributsioonide vaiketerminal, mis tähendas, et vead olid eriti laialt levinud.

Märkus. Haavatavus ei mõjutanud Windowsi süsteeme, kuna Windows ei kasuta Bashi kesta.

Septembris 2014 avastas turvateadlane Stéphane Chazelas Bashis esimese probleemi ja teatas sellest privaatselt Bashi hooldavale isikule. Ta töötas koos Bashi hooldamise eest vastutava arendajaga ja töötati välja plaaster, mis probleemi lahendas. Kui plaaster oli välja antud ja allalaadimiseks saadaval, avalikustati vea olemus septembri lõpus.

Mõne tunni jooksul pärast vea teatavakstegemist hakati seda looduses ära kasutama ja ühe päeva jooksul olid juba kasutusel sellel ärakasutamisel põhinevad robotvõrgud, mida kasutati DDOS-i rünnete sooritamiseks ja haavatavuse kontrollimiseks. Kuigi plaaster oli juba saadaval, ei saanud inimesed seda piisavalt kiiresti kasutusele võtta, et vältida ärakasutamise kiirustamist.

Järgmise paari päeva jooksul tuvastati veel viis seotud haavatavust. Jällegi töötati kiiresti välja ja väljastati plaastreid, kuid vaatamata aktiivsele kasutamisele ei rakendatud värskendusi siiski tingimata kohe ega olnud isegi kõigil juhtudel kohe saadaval, mis viis masinate ohtu.

Haavatavused tulenesid mitmesugustest vektoritest, sealhulgas CGI-põhistest veebiserveri süsteemikõnedest, mida käsitleti valesti. OpenSSH-server lubas õiguste tõstmist piiratud kestast piiramata kestaks. Pahatahtlikud DHCP-serverid suutsid käivitada koodi haavatavatel DHCP-klientidel. Sõnumite töötlemisel lubas Qmail ära kasutada. IBM HMC piiratud kesta saab kasutada täielikule bash-shellile juurdepääsu saamiseks.

Vea laialt levinud olemuse, samuti haavatavuste tõsiduse ja ärakasutamise kiirustamise tõttu võrreldakse Shellshocki sageli Heartbleediga. Heartbleed oli OpenSSL-i haavatavus, mis lekitas mälu sisu ilma kasutaja sekkumiseta.