Новини

11:27
Представлено новое вооружение - уникальный танковый миномет
11:23
Луценко: «Глава полиции Киева должен подать в отставку»
11:21
Кравчук озвучил интересный план решения войны на Донбассе
10:44
До слез: прощания собаки с умирающим хозяином
10:12
На Донбассе эскалация: за день десятки артналетов и танковый бой
10:02
Украинцам кризис не помеха: покупать стали больше
10:00
Трое дончан высказались за весь Донбасс: хотим независимость, даже от России
09:55
Забрать Приват. Эксперты о желаниях и возможностях Гонтаревой
09:39
Кононенко: Онищенко реализует "кагэбэшный" сценарий
08:48
Львовян возмутило новое секс-кафе в городе
08:26
Потап и Настя Каменских собирались пожениться этим летом
08:11
Фотосессия 16-летней Анджелины Джоли взорвала Сеть
08:05
Раскрыты тайны "бедного" главы Запорожской ОГА
20:39
Санкции против России: был ли эффект?
20:35
Зачем Эрдоган сбил российский самолет?
20:31
Мы не заметим, как мир захватит искусственный интеллект
17:48
Возмущенные высокими тарифами крымчане вышли на митинг
17:13
Сможет ли общественность преодолеть коррупцию во власти
17:06
Проблема «Привата» угрожает финансовой системе и всей стране
15:08
Журналисты показали элитный особняк Януковича в России за 1 млн долларов
14:59
10 шокирующих фактов про владелицу «Sanahunt» Оксану Мороз-Хант
14:48
Скандальный закон №5130: вся правда о зарплатах и пенсиях
14:29
Дерзость Шкиряка возмутила украинцев
14:25
Скандалы вокруг беглого нардепа Онищенко: названа его новая фамилия
12:39
Наезд на полицейских. Спецназ открыл огонь по автомобилю бандитов
12:05
У Зеленского высмеяли перелом пальца Андрея Парубия
11:17
Сеть взорвали кадры нападения мигранта на немку
11:12
ПриватБанк стал "Банком 2016 года" в рейтинге лучших мировых банков The Banker
10:50
Playboy навсегда может исчезнуть с российских прилавков
10:45
Новости Крымнаша. Цивилизационный разлом
09:57
Польский пограничник оштрафовал украинцев за тризубец на авто
09:46
"Мразь, ты сгоришь в аду": Семенченко "взорвался" из-за вопроса журналиста
09:07
Ожидай «привета», — к убийце-дезертиру обратились бывшие сослуживцы
08:57
Игры валют: доллар не сдается
08:22
Жена пленного россиянина рассказала, как от мужа отказались «ДНР» и Россия
08:21
Дочь Ольги Сумской кардинально изменила имидж
21:46
ВСУ успешно испытали дистанционный БТР "Фантом"
21:06
Как обманули тысячи вкладчиков банка Авакова
Більше новин

Интернету угрожает масштабная уязвимость

0

Интернету угрожает масштабная уязвимость Эксперты компаний Qrator Labs и Wallarm предупреждают о чрезвычайной угрозе из-за уязвимости Shellshock, позволяющей несанкционированно выполнять код на удаленных системах – серверах, маршрутизаторах, ноутбуках.

«После нашумевшей Heartbleed уязвимость Shellshock – это уже второй «крякер Интернета» за 2014 год, позволяющий злоумышленникам массово получать доступ к удаленным системам. Пикантность ситуации добавляет то, что «заплатки», исправляющей уязвимость, нет до сих пор», – отмечает Степан Ильин, директор по продуктам Wallarm.

Огромное количество устройств разом оказались под ударом после публикации информации об уязвимости Shellshock, открывающей злоумышленникам удаленный доступ к различным устройствам – серверам, маршрутизаторам (в том числе домашним роутерам), ноутбукам (на OS X и Linux).

Критические ошибки (CVE-2014-6271 и CVE-2014-7169) были обнаружены в командной оболочке Bash, повсеместно используемой в Linux/BSD для управления операционной системой. Вскоре были озвучены способы использовать эту уязвимость удаленно – в результате хакеры могут взламывать веб-приложения, использующие в работе популярный интерфейс CGI, и выполнять на уязвимой системе произвольные команды. В некоторых случаях атака может быть произведена через протоколы SSH (используется для удаленного управления) и DHCP (применяется для раздачи клиентам IP-адресов).

Прямо сейчас фиксируются распределенные сканирования различных сегментов Интернета, выполняемых злоумышленниками и направленные на поиск уязвимых серверов и заражение их вредоносным программным обеспечением.

Угрозе подвержены и обычные пользователи. Злоумышленники могут получить доступ к домашним роутерам, веб-камерам и другим устройствам в результате атаки на веб-интерфейс, используемый для их удаленного администрирования и настройки. Хакеру в этом случае даже не надо знать логин и пароль для входа в панель управления.

«На сегодняшний день уже зафиксирован ботнет, который распространяется с использованием уязвимости Shellshock и ориентирован на MIPS и x86 архитектуры – серверы и маршрутизаторы. Данный ботнет распространяется с огромной скоростью, – комментирует Александр Лямин, генеральный директор и основатель Qrator Labs. – По моему мнению, Shellshock по своим последствиям уступает только нашумевшей уязвимости HeartBleed, и о Shellshock мы будем слышать еще многие годы».

Как защититься от Shellshock

Меры в целом для систем:
• Немедленное обновление используемой версии Bash или замена Bash на альтернативный интерпретатор. На данный момент существует исправление только для уязвимости CVE-2014-6271. При этом уязвимость CVE-2014-7169 представляет не меньшую угрозу и по-прежнему может быть использована злоумышленниками
• Проверка всех сетевых устройств, имеющихся в инфраструктуре
• Ограничение доступа к уязвимым сервисам и устройствам (например, с помощью файрвола)

Для веб-приложений:
• В качестве экстренной меры (на время обновления) – отключение функционала, реализованного через интерфейс CGI
• Фильтрация пользовательского ввода к веб-приложениям на уязвимых серверах
• Включение файрвола веб-приложений, блокирующего попытки использования Shellshock и других уязвимостей приложения.

По материалам пресс-релиза.

Загрузка...