Новая угроза, страшнее чем heartbleed
В минувшую среду эксперты по информационной безопасности объявили о новой угрозе, способной по своим последствиям превзойти печально известный «Heartbleed», потревоживший умы ИТ-специалистов еще в апреле этого года. Речь идет о недавно обнаруженной ошибке безопасности в части широко используемого программного обеспечения Linux.
Bash – это программное обеспечение, используемое для управления командной строкой в большинстве Unix-систем. По мнению экспертов информационной безопасности, хакеры вполне могут использовать ошибку в Bash для получения полного контроля над целевой системой.
Департамент внутренней безопасности США уже выпустил предупреждение о том, как уязвимость влияет на операционные системы на основе Unix, в том числе Linux и принадлежащую Apple Inc Mac OS X.
Баг «Heartbleed» позволял хакерам «шпионить» за компьютерами, но не мог позволить взять их под контроль. Да и метод использования Bash стал гораздо проще. Достаточно просто вырезать и вставить строку кода, чтобы получить хорошие результаты.
Тод Бердсли, технический руководитель по кибербезопасности фирмы Rapid7, сообщил, что новая ошибка по шкале тяжести оценивается на «10», то есть имеет максимальное воздействие, и кроме того обладает «низким» показателем сложности эксплуатации, то есть злоумышленникам относительно легко использовать ее для организации атак.
С помощью этой уязвимости злоумышленники могут потенциально завладеть контролем над операционной системой, получить доступ к конфиденциальной информации, внести изменения, и многое другое. Любой, кто работает с системами, использующими Bash, должен немедленно использовать патч, который обеспечит защиту от подобного рода атак.
Эксперты по традиции советуют пользователям компьютеров получать обновления операционных систем непосредственно от производителей ПО. Основные поставщики Linux, включая Red Hat Inc, уже успели их подготовить, но вот про обновление для представителей OS X пока ничего не слышно. Представители Apple ситуацию никак не комментируют.
Тэвис Орманди, специалист по безопасности Google Inc, опубликовал в своем Twitter сообщение, что патчи кажутся неполными, вслед за чем еще несколько экспертов выразили обеспокоенность в комментариях к этому сообщению. Подобные опасения, высказанные официальными лицами крупных компаний, означают, что некоторые системы могут быть под угрозой, даже если в них уже внесены изменения.
Так что сегодня множество команд корпоративной безопасности проводят дни, приводя в порядок свои сети, чтобы найти уязвимости и залатать их, а также будут принимать другие меры предосторожности, чтобы смягчить потенциал для атак в случае, если патчи действительно оказались неэффективными.
«Heartbleed», открытый в апреле, это ошибка шифрования программного обеспечения с открытым исходным кодом под названием OpenSSL. Эта ошибка подвергла опасности данные миллионов пользователей по всему миру, так как OpenSSL используется примерно на 2/3 всех сайтов. Именно она также заставила десятки технологических компаний выпустить патчи безопасности для сотен продуктов, которые используют OpenSSL.
Bash является оболочкой программного обеспечения, производимого некоммерческой организацией Free Software Foundation. Официальные представители этой группы пока никаких комментариев не давали.