Новини

10:35
"Укрзализныця" дважды поднимет цены на билеты
09:53
Фірми, що зайшли на ринок зрідженого газу, ведуть до Медведчука та "Рошен"
09:50
Лавров рассмешил соцсети заявлением по Украине
09:29
Парасюк: Тепер я розкажу хто тут "агент кремля" і виконує "російський сценарій"
08:47
Брэд Питт расстроился из-за слез Анджелины Джоли
08:40
Цены на жилую недвижимость в Германии завышены на треть - Бундесбанк
08:22
В розовом пиджаке и платке Иван Дорн продемонстрировал новый образ
08:20
От Антарктиды откололся гигантский айсберг площадью 30 кв. км.
08:08
Из-за блокады на Донбассе Ахметов теряет $30 млн в месяц, — Dragon Capital
08:04
Архивное фото с выпускного Потапа удивило поклонников
07:58
США сделали выбор между Украиной и Россией
07:29
Кремль в истерике: Голышев рассказал, как Трамп подставил Путина
07:28
Украина увеличила поставки оружия в Россию на 72%
07:27
Мирослав Гай: "А теперь серьезно — мы наблюдаем подготовку Кремля к чему-то большому"
07:20
Шкиряк жестко поругался с Богословской
07:18
Потап и Настя Каменских готовятся к важному событию в жизни
21:09
Cкандал в Днепре: Прокурора обвиняют в развращении ребенка
20:28
Фирташ прокомментировал решение суда о своей экстрадиции
20:19
Как хакеры шпионят за украинскими VIP: жучки в кабинете - это прошлый век
19:36
Эксперты призвали не платить за ЖКХ всей страной
18:26
Появились кадры ожесточенного боя под Докучаевском
18:23
Большинство украинцев не уверенны в завтрашнем дне
16:23
Штаб блокады и Гройсман обменялись требованиями и предложениями
16:02
В Австрии суд разрешил экстрадицию Фирташа в США
15:30
Во что боевики превращают Донбасс: появилось жуткое видео
15:27
Рада уже в мае может разрешить продажу сельхозземли ради кредита МВФ
15:03
Семен Семенченко и ложь: Кто он на самом деле
15:03
Единый казначейский счет может заработать с 1 января 2018 года
15:02
Роздрібна торгівля за місяць впала на 16,4%
14:36
Такого еще не было: Семь российских дипломатов погибли за два месяца
14:33
В перспективе 1-3 лет антрацит является безальтернативным для украинской энергетики - Гройсман
12:28
Что сказал постпред Украины при ООН о смерти Чуркина
12:01
Что не дает доллару подорожать еще сильнее
11:52
Странное поведение Порошенко на траурном молебне
11:39
Битва на выживание: состязание осьминога и краба с неожиданным концом
11:14
Синоптики предупредили киевлян об ухудшении погодных условий
11:09
Семенченко: "У мене для вас погана новина, Петро Олексійович"
10:53
Сорос сделал ставку на крах Трампа – Bild
Більше новин

Интернету угрожает масштабная уязвимость

0

Интернету угрожает масштабная уязвимостьЭксперты компаний Qrator Labs и Wallarm предупреждают о чрезвычайной угрозе из-за уязвимости Shellshock, позволяющей несанкционированно выполнять код на удаленных системах – серверах, маршрутизаторах, ноутбуках.

«После нашумевшей Heartbleed уязвимость Shellshock – это уже второй «крякер Интернета» за 2014 год, позволяющий злоумышленникам массово получать доступ к удаленным системам. Пикантность ситуации добавляет то, что «заплатки», исправляющей уязвимость, нет до сих пор», – отмечает Степан Ильин, директор по продуктам Wallarm.

Огромное количество устройств разом оказались под ударом после публикации информации об уязвимости Shellshock, открывающей злоумышленникам удаленный доступ к различным устройствам – серверам, маршрутизаторам (в том числе домашним роутерам), ноутбукам (на OS X и Linux).

Критические ошибки (CVE-2014-6271 и CVE-2014-7169) были обнаружены в командной оболочке Bash, повсеместно используемой в Linux/BSD для управления операционной системой. Вскоре были озвучены способы использовать эту уязвимость удаленно – в результате хакеры могут взламывать веб-приложения, использующие в работе популярный интерфейс CGI, и выполнять на уязвимой системе произвольные команды. В некоторых случаях атака может быть произведена через протоколы SSH (используется для удаленного управления) и DHCP (применяется для раздачи клиентам IP-адресов).

Прямо сейчас фиксируются распределенные сканирования различных сегментов Интернета, выполняемых злоумышленниками и направленные на поиск уязвимых серверов и заражение их вредоносным программным обеспечением.

Угрозе подвержены и обычные пользователи. Злоумышленники могут получить доступ к домашним роутерам, веб-камерам и другим устройствам в результате атаки на веб-интерфейс, используемый для их удаленного администрирования и настройки. Хакеру в этом случае даже не надо знать логин и пароль для входа в панель управления.

«На сегодняшний день уже зафиксирован ботнет, который распространяется с использованием уязвимости Shellshock и ориентирован на MIPS и x86 архитектуры – серверы и маршрутизаторы. Данный ботнет распространяется с огромной скоростью, – комментирует Александр Лямин, генеральный директор и основатель Qrator Labs. – По моему мнению, Shellshock по своим последствиям уступает только нашумевшей уязвимости HeartBleed, и о Shellshock мы будем слышать еще многие годы».

Как защититься от Shellshock

Меры в целом для систем:
• Немедленное обновление используемой версии Bash или замена Bash на альтернативный интерпретатор. На данный момент существует исправление только для уязвимости CVE-2014-6271. При этом уязвимость CVE-2014-7169 представляет не меньшую угрозу и по-прежнему может быть использована злоумышленниками
• Проверка всех сетевых устройств, имеющихся в инфраструктуре
• Ограничение доступа к уязвимым сервисам и устройствам (например, с помощью файрвола)

Для веб-приложений:
• В качестве экстренной меры (на время обновления) – отключение функционала, реализованного через интерфейс CGI
• Фильтрация пользовательского ввода к веб-приложениям на уязвимых серверах
• Включение файрвола веб-приложений, блокирующего попытки использования Shellshock и других уязвимостей приложения.

По материалам пресс-релиза.


Загрузка...