Một lỗ hổng được phát hiện gần đây trong bảo mật của Bourne-Again Shell (bash) có phần lớn các quản trị viên Unix/Linux (bao gồm cả OS X) đổ mồ hôi hột. Bạn cũng nên như vậy–những kẻ tấn công đã phát triển các khai thác để tấn công các máy chủ web, dịch vụ mạng và trình nền chưa được vá lỗi sử dụng các tập lệnh shell với các biến môi trường (điều này có thể bao gồm thiết bị mạng, thiết bị công nghiệp, v.v..)
Về cơ bản, lỗ hổng này cho phép kẻ tấn công thực thi các lệnh shell trên máy chủ do vấn đề về cách bash diễn giải các biến môi trường (chẳng hạn như “cookie”, “host”, “referrer”). Khai thác điều này cho phép kẻ tấn công chạy các lệnh shell trực tiếp. Khi họ có quyền truy cập để chạy các lệnh shell, họ sở hữu máy chủ.
Tôi có thể làm gì?
Nếu bạn đã làm sạch đầu vào trên các ứng dụng web của mình để bảo vệ chống lại việc chèn SQL và tập lệnh chéo trang, thì bạn đang đi đúng hướng. Điều này sẽ cung cấp cho bạn ít nhất một phòng thủ cơ bản.
Mặc dù CGI vẫn còn tồn tại trên hầu hết các trang web, nhưng nó thường bị giới hạn ở những đoạn mã nhỏ đã tồn tại trong nhiều năm. Những đoạn mã này có thể chưa được cập nhật theo nguyên tắc “Nếu nó không bị hỏng, đừng sửa nó.“
Cũng đoán những gì? Tan vỡ. Sửa nó. Đã đến lúc tìm một giải pháp thay thế. Tuy nhiên, trong lúc này, bạn nên tắt bất kỳ CGI nào gọi trên trình bao.
Một số đã khuyến nghị sử dụng thứ gì đó khác với bash trong ứng dụng của bạn (Dash, Fish, Zsh, Csh, v.v.) nhưng hãy nhớ suy nghĩ và lập kế hoạch cẩn thận cho việc đó thay vì vội vàng ‘xé và thay thế’. Một số trình bao nhất định có thể hoạt động khác hoặc thậm chí thiếu một số chức năng bash mà ứng dụng của bạn dựa vào, khiến chúng không hoạt động được.
Cách khắc phục thực sự sẽ là bản vá lỗi của chính bash, hoặc từ các nhà phát triển của bản phân phối mà bạn sử dụng, hoặc, (nếu bạn hiểu biết) thông qua mã được biên dịch của riêng bạn. Cho đến lúc đó, các bước được đề cập ở trên là những bước đầu tiên tốt để tự bảo vệ mình.
AlienVault có thể giúp gì?
AlienVault Unified Security Management (USM) cung cấp khả năng khám phá tài sản, đánh giá lỗ hổng, phát hiện mối đe dọa (IDS), giám sát hành vi và SIEM trong một bảng điều khiển duy nhất, cung cấp cho bạn mọi thứ bạn cần để phát hiện các lỗ hổng như Bash và cố gắng khai thác.
Với AlienVault USM, bạn có thể:
- Tự động khám phá và kiểm kê nội dung mạng của bạn
- Quét hàng ngàn lỗ hổng, bao gồm cả Bash
- Phát hiện các cuộc tấn công và hoạt động với các máy chủ độc hại đã biết
- Ưu tiên rủi ro với dữ liệu mối đe dọa và lỗ hổng tương quan
- Hưởng lợi từ các bản cập nhật thông tin tình báo về mối đe dọa được phát triển bởi các chuyên gia bảo mật tại AlienVault Labs
Trong vòng 24 giờ sau khi phát hiện ra lỗ hổng Bash, nhóm AlienVault Labs đã đẩy các chữ ký mạng và chỉ thị tương quan được cập nhật lên nền tảng USM, cho phép người dùng phát hiện lỗ hổng trong môi trường của họ và phát hiện những kẻ tấn công đang cố gắng khai thác lỗ hổng đó.
Tìm hiểu thêm về AlienVault USM:
