Сейчас много говорится об опасности уязвимости командной оболочки Shellshock, еще называемой Bash, работающей под Линуксом. Если сказать коротко, то этот баг удаленно заставляет устройства выполнять произвольные команды. Причем, угрозе подвержен широкий спектр устройств, работающих под Linux, как говорится, от мала до велика: от серверов до домашних роутеров и Wi-Fi камер.
Казалось бы, мало ли различных багов во всем многообразии ПО, все рано или поздно исправляется. Если проблема есть, то разработчик обязан направить усилия своих специалистов на устранение угрозы. И действительно, обновления уже вышли для Ubuntu Server, Solaris и для OS X, на подходе обновление VMWare… Админам остается только заботиться о своевременном обновлении серверного ПО.
Но в данном случае не все так оптимистично. Это очень многогранная проблема. Во-первых, при том что Bash используется и в Linux, и в BSD, и в OS X, а нормальный патч так и не создан. Во-вторых, даже когда патч создадут, множество устройств (роутеров, веб-камер, NAS-ов) будут по-прежнему использовать старые – уязвимые — версии Bash. В-третьих, эксплуатация уязвимости так проста, а доступность для злоумышленников скриптов и тузлов так велика, что становится довольно страшно: можно быть уверенным, что именно в данный момент масса людей активно ищет уязвимые сервисы, сканируя все подряд IP.
Сейчас к Интернету подключены миллиарды на первый взгляд безобидных бытовых устройств: смартфонов, умных часов, цифровых фотокамер, продвинутых холодильников и даже дверных глазков. В общем, — огромное количество онлайн-девайсов, для которых даже не существует антивирусов, а зачастую – и актуальной прошивки. Это можно сравнить с океаном, в котором привольно плавает и активно размножается злая рыба Shellshock. И этот океан со временем буде только увеличиваться: сюда добавятся онлайн-роботы, онлайн-автомобили, онлайн-датчики в одежде и много-много другого.
Вообще, получается, что «Linux-вирус» более всего угрожает рядовым пользователям. Предприятия как-то отобьются, а счастливые обладатели домашних сетей, даже не подозревающие, что они частенько работают именно под Linux, имеют все основания опасаться.
Чего стоит опасаться?
Чтобы разобраться, нужно чуть подробнее узнать что, собственно, представляет собой Shellshock. Это уязвимость, дающая возможность «удаленному пользователю инициировать выполнение произвольного кода на системе-цели при помощи умышленно созданного массива данных». Звучит мрачно! На практике это означает что хакеры, воспользовавшись ошибкой или недоработкой админов, без чрезмерных усилий могут взять под контроль сервер, отыскав уязвимую веб-страницу.
И тут начинаются самые интересные вещи для рядового обывателя! Админ сможет диагностировать уязвимость на сервере. И сделать обновление оболочки bash – тоже. А вот как обыватель может быть уверен что его домашний роутер здоров? Или умный телевизор? А управляемая по Ethernet розетка? Ведь для подобных гаджетов диагностика попросту не предусмотрена и провести ее не сможет даже профессионал.
Остается только верить что производители будут оперативно обновлять прошивки…