Новини

19:24
"Деньги гребут чемоданами": в сети высмеяли пустые пляжи оккупированного Крыма
19:14
12-летний футболист взорвал Сеть феноменальной техникой, заинтересовав "Реал" и "Барселону"
18:07
Кадры с мумией пришельца всполошили научный мир
17:07
Зеленский повторил знаменитое падение Юрия Никулина
16:41
Цифровой Армагеддон: работа тысяч украинцев оказалась заблокирована интернет-вирусом
16:39
Все только начинается! Сеть впечатлило мрачное фото из "ДНР"
16:24
На Украину обрушилась масштабная хакерская атака
16:20
Пассажирка пыталась открыть люк самолета во время полета
13:41
Готовьте кошельки: украинцам напомнили, что подорожает с 1 июля
13:41
Взорванный в Киеве полковник ГУР занимался охраной убитого экс-депутата Госдумы Вороненкова
11:05
Цены в Украине становятся заоблачными
10:39
Евгений Кошевой рассмешил Сеть забавной выходкой
10:36
Насирову придется носить браслет еще 2 месяца – суд
10:08
Как получить высокую пенсию в Украине
10:06
В Соломенском районе Киева прогремел сильный взрыв
09:53
Гройсман: Авторы блокады Донбасса перенаправили миллиарды из украинского бюджета в российский
09:45
Насмешили весь мир: в сети выложили новые фото косяков самого дорогого стадиона России
09:19
Мининфраструктуры совместно с МВД готовят новые проверки водителей
08:59
Жители оккупированного Донбасса устроили массовый протест
08:51
Евросоюз принял сирийских беженцев в пять раз больше, чем рассчитывал
08:48
Названі 5 найбільш шкідливих харчових звичок
08:46
Не допустить сценарий Крыма: в НАТО рассказали о военной угрозе со стороны России
08:42
Mobileye поможет Украине повысить безопасность на дорогах
08:39
Польша приняла почти полтора миллиона украинских беженцев
08:36
Санта Димопулос похвасталась роскошной фигурой в откровенном боди
08:34
"Засунуть им в одно место": легендарный АТОшник возмутился миллионам кэша в декларациях
08:31
Анна Седокова ошеломила фото в купальнике
07:51
Barclays: Биткоин надо ввести в игру
07:44
София Ротару поразила поклонников новой прической
07:43
"Они не удержат Крым": военный эксперт спрогнозировал возврат полуострова
07:35
Суд над Януковичем снова отложили
07:34
ЕС отложили «Северный поток-2» в долгий ящик
07:32
Что с волосами? Поклонники о новом образе Веры Брежневой
07:30
Ученые проведут эксперимент по воскрешению мертвецов
07:26
"Главный мафиози" украинского шоу-бизнеса порадовал новым клипом
07:17
В сети не устают смеяться над днем рождения главаря ДНР
07:15
Хайден Панеттьери и Наталья Кличко любят вместе петь
07:13
США собираются легализировать военную интервенцию в страны – СМИ
Більше новин

Интернету угрожает масштабная уязвимость

0

Интернету угрожает масштабная уязвимость Эксперты компаний Qrator Labs и Wallarm предупреждают о чрезвычайной угрозе из-за уязвимости Shellshock, позволяющей несанкционированно выполнять код на удаленных системах – серверах, маршрутизаторах, ноутбуках.

«После нашумевшей Heartbleed уязвимость Shellshock – это уже второй «крякер Интернета» за 2014 год, позволяющий злоумышленникам массово получать доступ к удаленным системам. Пикантность ситуации добавляет то, что «заплатки», исправляющей уязвимость, нет до сих пор», – отмечает Степан Ильин, директор по продуктам Wallarm.

Огромное количество устройств разом оказались под ударом после публикации информации об уязвимости Shellshock, открывающей злоумышленникам удаленный доступ к различным устройствам – серверам, маршрутизаторам (в том числе домашним роутерам), ноутбукам (на OS X и Linux).

Критические ошибки (CVE-2014-6271 и CVE-2014-7169) были обнаружены в командной оболочке Bash, повсеместно используемой в Linux/BSD для управления операционной системой. Вскоре были озвучены способы использовать эту уязвимость удаленно – в результате хакеры могут взламывать веб-приложения, использующие в работе популярный интерфейс CGI, и выполнять на уязвимой системе произвольные команды. В некоторых случаях атака может быть произведена через протоколы SSH (используется для удаленного управления) и DHCP (применяется для раздачи клиентам IP-адресов).

Прямо сейчас фиксируются распределенные сканирования различных сегментов Интернета, выполняемых злоумышленниками и направленные на поиск уязвимых серверов и заражение их вредоносным программным обеспечением.

Угрозе подвержены и обычные пользователи. Злоумышленники могут получить доступ к домашним роутерам, веб-камерам и другим устройствам в результате атаки на веб-интерфейс, используемый для их удаленного администрирования и настройки. Хакеру в этом случае даже не надо знать логин и пароль для входа в панель управления.

«На сегодняшний день уже зафиксирован ботнет, который распространяется с использованием уязвимости Shellshock и ориентирован на MIPS и x86 архитектуры – серверы и маршрутизаторы. Данный ботнет распространяется с огромной скоростью, – комментирует Александр Лямин, генеральный директор и основатель Qrator Labs. – По моему мнению, Shellshock по своим последствиям уступает только нашумевшей уязвимости HeartBleed, и о Shellshock мы будем слышать еще многие годы».

Как защититься от Shellshock

Меры в целом для систем:
• Немедленное обновление используемой версии Bash или замена Bash на альтернативный интерпретатор. На данный момент существует исправление только для уязвимости CVE-2014-6271. При этом уязвимость CVE-2014-7169 представляет не меньшую угрозу и по-прежнему может быть использована злоумышленниками
• Проверка всех сетевых устройств, имеющихся в инфраструктуре
• Ограничение доступа к уязвимым сервисам и устройствам (например, с помощью файрвола)

Для веб-приложений:
• В качестве экстренной меры (на время обновления) – отключение функционала, реализованного через интерфейс CGI
• Фильтрация пользовательского ввода к веб-приложениям на уязвимых серверах
• Включение файрвола веб-приложений, блокирующего попытки использования Shellshock и других уязвимостей приложения.

По материалам пресс-релиза.


Загрузка...