Новини

13:32
Крейсер "Украина" демилитаризуют и продадут за долги
12:52
В России массово задерживают протестующих против коррупции Медведева
12:34
Вечно молодые знаменитости, которые вообще не стареют
12:23
Ученые: Aпoкaлипcиc нaчнeтcя c вoccтaния мaшин
12:03
Ударилась головой об асфальт: в Минске ОМОН во время задержаний сбил с ног пенсионерку
11:37
Коррупционные сделки. Почему МВФ тянет с кредитом Украине
11:35
Космонавты сняли на видео таинственный НЛО
11:18
Следующим президентом Украины будет тот, кто пообещает уничтожить олигархов, — Федорин
11:17
Учeныe пpизвaли гoтoвитьcя к климaтичecкoму aду ужe в 2017 гoду‍
11:10
Цинизм украинской власти: Российские олигархи скупают Украину за бесценок, а они с певичкой инвалидом войну ведут, — Эйдман
11:09
Балаклея осталась без газоснабжения, в городе звучат взрывы
10:16
Украинские авиакомпании получат новые разрешения на маршруты
10:08
В сети показали, как воюют украинские морпехи
09:47
Появились кадры масштабной переброски военной техники России в Крыму
09:42
Тутанхамон: загадка гробницы
09:36
Джамала пленила публику соблазнительным образом
08:57
Екскурсія пам’ятками окупації: шо забула делегація німецьких бізнесменів в анексованому Криму
08:53
София Ротару поразила поклонников неувядающей красотой
08:53
Порошенко уволил Кивалова с должности члена Венецианской комиссии
08:47
Житель Донецка записал эмоциональное обращение к Украине по случаю знакового события
08:28
Елена Кравец показала любимого супруга и подросшую дочь
08:23
Евросоюз и США в один голос заявили о необходимости "демократизации Беларуси"
08:20
В Беларуси задержали россиян с оружием и флагом Украины
08:16
Смартфон - единственное изменение в России за 100 лет
08:12
Известный украинский музыкант назвал главного союзника "русского мира" в Украине
08:07
Метеоцунами: одесситы наблюдали необычные волны
08:01
Тину Кароль заметили в объятиях знаменитого мужчины
21:45
Ляшко: Тимошенко хотела продавать землю иностранцам еще в 2008
21:30
Украина опустилась в рейтинге ООН по человеческому развитию
21:05
Олег Бахматюк и его аферы от А до Я
20:32
"Запускайте мусор на Марс": украинцы жестко высмеяли Садового
20:28
Семью Мишаловых подвело тендерное неравенство
19:23
В Беларуси жестко разогнали протестный митинг, сотни задержанных
16:30
Саакашвили сделал громкое заявление о досрочных выборах
16:13
В Киеве в продаже появилось "депутатское" сало
12:45
Янтарные войны: Названа "зарплата" покровителей нелегальной добычи
11:51
Всю команду в 4 касания: африканский футболист унизил сборную России
11:46
Население Украины катастрофически сокращается
Більше новин

Интернету угрожает масштабная уязвимость

0

Интернету угрожает масштабная уязвимость Эксперты компаний Qrator Labs и Wallarm предупреждают о чрезвычайной угрозе из-за уязвимости Shellshock, позволяющей несанкционированно выполнять код на удаленных системах – серверах, маршрутизаторах, ноутбуках.

«После нашумевшей Heartbleed уязвимость Shellshock – это уже второй «крякер Интернета» за 2014 год, позволяющий злоумышленникам массово получать доступ к удаленным системам. Пикантность ситуации добавляет то, что «заплатки», исправляющей уязвимость, нет до сих пор», – отмечает Степан Ильин, директор по продуктам Wallarm.

Огромное количество устройств разом оказались под ударом после публикации информации об уязвимости Shellshock, открывающей злоумышленникам удаленный доступ к различным устройствам – серверам, маршрутизаторам (в том числе домашним роутерам), ноутбукам (на OS X и Linux).

Критические ошибки (CVE-2014-6271 и CVE-2014-7169) были обнаружены в командной оболочке Bash, повсеместно используемой в Linux/BSD для управления операционной системой. Вскоре были озвучены способы использовать эту уязвимость удаленно – в результате хакеры могут взламывать веб-приложения, использующие в работе популярный интерфейс CGI, и выполнять на уязвимой системе произвольные команды. В некоторых случаях атака может быть произведена через протоколы SSH (используется для удаленного управления) и DHCP (применяется для раздачи клиентам IP-адресов).

Прямо сейчас фиксируются распределенные сканирования различных сегментов Интернета, выполняемых злоумышленниками и направленные на поиск уязвимых серверов и заражение их вредоносным программным обеспечением.

Угрозе подвержены и обычные пользователи. Злоумышленники могут получить доступ к домашним роутерам, веб-камерам и другим устройствам в результате атаки на веб-интерфейс, используемый для их удаленного администрирования и настройки. Хакеру в этом случае даже не надо знать логин и пароль для входа в панель управления.

«На сегодняшний день уже зафиксирован ботнет, который распространяется с использованием уязвимости Shellshock и ориентирован на MIPS и x86 архитектуры – серверы и маршрутизаторы. Данный ботнет распространяется с огромной скоростью, – комментирует Александр Лямин, генеральный директор и основатель Qrator Labs. – По моему мнению, Shellshock по своим последствиям уступает только нашумевшей уязвимости HeartBleed, и о Shellshock мы будем слышать еще многие годы».

Как защититься от Shellshock

Меры в целом для систем:
• Немедленное обновление используемой версии Bash или замена Bash на альтернативный интерпретатор. На данный момент существует исправление только для уязвимости CVE-2014-6271. При этом уязвимость CVE-2014-7169 представляет не меньшую угрозу и по-прежнему может быть использована злоумышленниками
• Проверка всех сетевых устройств, имеющихся в инфраструктуре
• Ограничение доступа к уязвимым сервисам и устройствам (например, с помощью файрвола)

Для веб-приложений:
• В качестве экстренной меры (на время обновления) – отключение функционала, реализованного через интерфейс CGI
• Фильтрация пользовательского ввода к веб-приложениям на уязвимых серверах
• Включение файрвола веб-приложений, блокирующего попытки использования Shellshock и других уязвимостей приложения.

По материалам пресс-релиза.


Загрузка...