راه اندازی حملات Botnet با استفاده از آسیب پذیری 'Shellshock'

پژوهشگران در روز پنجشنبه یک آسیب پذیری حساس و قابل بهره برداری از راه دور را در خط فرمان (GNU Bourne) کشف کردند که به نام آسیب پذیری "Shellshock" لقب گرفت. این آسیب پذیری بسیاری از توزیع های لینوکس و سرور را در سراسر جهان تحت تاثیر قرار می دهد و ممکن است در حال حاضر سرورهای وب به عنوان بخشی از botnetهایی که در تلاش هستند تا سرورهای دیگر را آلوده سازند، مورد بهره برداری قرار گرفته باشد.

 

حمله Botnet ها...

این bot توسط یک محقق امنیتی با نام کاربری توئیتر [email protected] کشف شده است که در Github آن را گزارش کرده است و گفته است که: به نظر می رسد از راه دور توسط افراد بی وجدانی کنترل شده است که نشان می دهد این آسیب پذیری در حال حاضر توسط کراکرها به طور مخرب استفاده می شود.

این آسیب پذیری (CVE-2014-6271) که در اصل در روز چهارشنبه کشف شده است، نسخه های 1.14 تا 4.3 از GNU Bash را تحت تاثیر خود قرار می دهد و می تواند تبدیل به یک تهدید خطرناک برای کاربران یونیکس/لینوکس و اپل باشد در صورتی که وصله امنیتی را در سیستم عامل نصب نکرده باشند.

با این حال، وصله امنیتی برای این آسیب پذیری منتشر شد اما برخی نگرانی ها وجود دارد که با این رفع آسیب پذیری، هنوز هم ممکن است Bash به این قبیل حملات آسیب پذیر باشد. هنوز هیچ وصله امنیتی رسمی که به طور کامل هر دو آسیب پذیری (که دومین آسیب پذیری شامل این است که به نفوذگر اجازه می دهد فایل ها را بروی سیستم مورد هدف، بازنویسی کند)، منتشر نشده است.

SHELLSHOCK در مقابل اینترنت

Robert Graham از Errata Security تصریح می کند که عمده پویش های اینترنت در حال حاضر توسط مجرمان اینترنتی به منظور تعیین سرورهای آسیب پذیر برای حملات سایبری صورت می گیرد.در هنگام پویش، Graham حدود 3000 سروری را یافت که "فقط به پورت 80" -پورت پروتکل اینترنت که برای درخواست های HTTP مورد استفاده قرار می گیرد- آسیب پذیر بودند.

پس از مدتی کوتاه، پویش اینترنت می تواند تعداد گسترده ای از سرورهای دیگر آسیب پذیر به این حمله را مورد هدف قرار دهد.

Graham در پست وبلاگ خود نوشت: "این چیزها مثل اسکریپت های CGI که در اعماق وبسایت ها (مانند cgi-sys/defaultwebpage.cgi در CPanel) هستند، آسیب پذیر هستند. بدست آوردن تنها صفحه ریشه حداقل چیزی است که به احتمال زیاد آسیب پذیر می باشد. Spider کردن سایت ها و تست اسکرپیت های CGI، نتایج بیشتری را (حداقل 10 برابر) ارائه می دهد."


علاوه بر این، Graham گفت که: "این چیزی است که به وضوح قابل آلوده شدن به کرم ها است و این کرم ها می توانند از دیوارهای آتش عبور کنند و سیستم های زیادی را آلوده کنند. یک سوال کلیدی این است که آیا سرویس DHCP سیستم عامل Mac و iPhone آسیب پذیر هستند یا خیر- هنگامی که این کرم ها در پشت دیوار آتش قرار می گیرند و یک سرور DHCP را به طور خصمانه اجرا می کنند، این به معنی این است که شبکه های بزرگ، Game over شده اند."

32 محصول آسیب پذیر ORACLE

همچنین اوراکل تایید کرد که بیش از 32 محصول تحت تاثیر قرار گرفته نسبت به آسیب پذیری "Shellshock" دارد از جمله برخی از سیستم های سخت افزاری یکپارچه ی گران قیمت. این شرکت به کاربران خود هشدار داد که برای یک وصله امنیتی کامل، کمی طولانی تر منتظر باشند.

این شرکت اعلام کرد:"Oracle هنوز هم در حال بررسی این مسئله است و رفع این آسیب پذیری که در محصولات خود تحت تاثیر قرار گرفته، به محض انجام تست کامل و مصمم برای کاهش خطرات در مقابل این آسیب پذیری، ارائه خواهد شد."

وصله امنیتی ارائه شده است اما ناقص...

وصله های امنیتی از بسیاری از توزیع های لینوکس منتشر شده است اما Red Hat یک هشدار مشورتی را که این وصله نافص است، ارائه کرده است. همچنین همین مسئله توسط جامعه infosec بروی توئیتر مطرح شده است.

یک مهندس امنیتی از Red Hat به نام Huzaifa Sidhpurwala گفته است که:

"Red Hat به شما اعلام می کند که نسبت به این وصله های امنیتی آگاه باشید چراکه این وصله ها ناقص هستند. یک نفوذگر می تواند متغیرهای محیطی (اجرای دستورات دلخواه که بروی سیستم آسیب پذیر تحت شرایط خاص طبق CVE-2014-7169 صورت می گیرد) را به طور خاص دستکاری کند."


اگرچه مردم خواستار یک وصله امنیتی برای خنثی کردن اکثر حملات که سیستم ها را تحت تاثیر قرار می دهد، هستند اما انتظار می رود که در اسرع وقت این وصله امنیتی به طور کامل منتشر شود.

علی اصغر جعفری لاری

علی اصغر جعفری لاری هستم. از سال 82 وارد دنیای "نفوذگری در وب" شدم و به صورت فردی، فعالیتم رو در این حوزه شروع کردم. پس از شش سال، دیدگاه اصلی من نسبت به این علم، به سمت و سوی "هک اخلاقی" تغییر پیدا کرد و سعی کردم شش سال دوم تجربیات زندگیم رو به صورت قانونمند و سودمند پیش ببرم. تخصص اصلی من "تست نفوذ برنامه های کاربردی وب" و تحقیق در حوزه "امنیت سایبری" هست و از روی علاقه، به مباحثی همچون تست نفوذ حوزه هایی مثل شبکه های بیسم، برنامه های کاربردی موبایل، کلاینت ها،سیستم های صنعتی و امواج رادیویی نیز پرداختم. تاکنون شش کتاب در حوزه هک و امنیت تالیف و ترجمه کردم و تیم پارسینگ رو برای رسیدن به اهداف بلندش یاری کردم.

وبگاه: www.parsing.ir پست الکترونیکی این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: