Мы ESET

30 Сентября 2014

Злоумышленники используют уязвимость Shellshock

Москва, 30 сентября 2014 г. Международная антивирусная компания ESET (Словакия) предупреждает об активности злоумышленников, использующих уязвимость Shellshock для установки вредоносных программ на Linux-серверы.

Критическая уязвимость Shellshock была обнаружена на прошлой неделе. Она присутствует во всех версиях командного интерпретатора Bash, который используется в различных дистрибутивах и модификациях Linux, Unix, Apple OS X и Android. С ее помощью злоумышленники могут удаленно устанавливать в уязвимые системы вредоносное ПО. С точки зрения масштаба и возможных последствий Shellshock можно сравнить с известной Heartbleed, ей присвоен наивысший десятый уровень опасности по шкале оценки уязвимостей.

Linux/DDoS.M использует заготовленные пароли для установки подключения с другими серверами на скомпрометированном сервере

В течение нескольких дней после обнаружения Shellshock специалисты ESET наблюдали несколько вариантов вредоносных программ, которые устанавливались на Linux-серверы с помощью эксплуатации данной уязвимости. Для этого используется специальный HTTP-запрос, который приводит к срабатыванию уязвимости в интерпретаторе Bash. Сам интерпретатор вызывается одним из CGI-скриптов, который получает поля этого HTTP-запроса, сформированного злоумышленником. В качестве текста полей запроса злоумышленники указывают определенную последовательность символов, а затем задают команды для копирования вредоносного файла с удаленного сервера и его исполнения.

Антивирусные продукты ESET NOD32 еще до обнаружения уязвимости Shellshock защищали пользователей от действия этих вредоносных программ, детектируя их как Linux/DDoS.M и OSX/Tsunami.A. Первая представляет собой бэкдор, который используется злоумышленниками для исполнения команд на зараженном сервере. Linux/DDoS.M может выступать и в роли DDoS-бота – получив соответствующие команды, программа будет посылать сетевые пакеты выбранной жертве. В свою очередь, OSX/Tsunami.A – это DDoS-бот, ориентированный на компьютеры под управлением Apple OS X.

Эксперты ESET рекомендуют системным администраторам установить соответствующие обновления для используемых дистрибутивов Linux, а пользователям – сменить пароли для веб-сервисов, так как они могут быть скомпрометированы.

Более подробную информацию об уязвимости Shellshock вы найдете в блоге ESET на Хабрахабре: http://habrahabr.ru/company/eset/blog/238257/