Shellshock i Mayhem wykorzystują zagrożenia Bash Shell

Od kilku miesięcy działa sieć botnet atakująca serwery webowe, w których nie zostały wdrożone poprawki eliminujące zagrożenia związane z podatnością znalezioną w interpreterze Bash Shell systemu Linux.

Podatność oznaczona jako CVE-2014-6271 pozwala wykonać dowolny kod poprzez manipulację zmiennymi środowiskowymi. Atakujący wykorzystują to poprzez infekcję serwerów Linux przy wykorzystaniu oprogramowania o nazwie Mayhem, które zostało odkryte przez specjalistów rosyjskiej firmy Yandex. Szkodliwy kod jest instalowany za pomocą skryptu PHP, który atakujący umieszcza na serwerze. Dokonuje tej operacji przy wykorzystaniu skompromitowanego hasła FTP do serwisu, błędów w zabezpieczeniu strony, uprawnień administracyjnych zdobyte za pomocą ataku brute-force lub innych metod. Głównym składnikiem Mayhem jest wykonywalny plik w formacie ELF (Executable and Linkable Format), który po instalacji pobiera dodatkowe składniki, a następnie zapisuje je w ukrytym i zaszyfrowanym systemie plików. Wykorzystanie pobranych składników pozwala atakującemu sprawdzać podatność i infekować nowe serwery.

W czerwcu tego roku specjaliści Yandex określili, że botnet zawiera przynajmniej 1400 zainfekowanych systemów, które są podłączone do dwóch niezależnych serwerów, kontrolujących środowisko.

Natomiast eksperci z niezależnej firmy MMD (Malware Must Die) poinformowali na początku października, że autorzy Mayhem dodali exploit Shellshock do arsenału omawianej sieci botnet. Shellshock jest zestawem skryptów wykorzystujących kilka niedawno odkrytych zagrożeń w interpreterze Bash Shell dla systemu Linux. Luki te mogą zostać wykorzystane do zdalnego wykonywania kodu na serwerach poprzez CGI (Common Gateway Interface), OpenSSH, DHCP (Dynamic Host Configuration Protocol), a w niektórych przypadkach, także OpenVPN.

Celem ataków Shellshock pochodzących z sieci botnet Mayhem są serwery Web zawierające wsparcie CGI. Na podstawie informacji pochodzących od MMD można stwierdzić, że każdy zarażony system przeszukuje i sprawdza serwery Web w celu określenia czy są podatne na zagrożenia Bash Shell, a następnie przełamuje ich zabezpieczenia w celu wykonania skryptu. Skrypt zawiera plik binarny Mayhem ELF zarówno dla architektury 32 i 64 bitowej CPU, który wykorzystuje funkcje LD_PRELOAD do rozpakowania pliku i uruchomienia kodu na serwerze. Podobnie jak poprzednie wersje tworzy ukryty system plików, gdzie zapisywane są dodatkowe komponenty – wtyczki – wykorzystywane do różnego typu skanowania i ataków przeciw innym serwerom. Specjaliści MMD podejrzewają, że jeden z tych komponentów może być aktualizowany w celu pobrania nowych narzędzi Shellshock. Obserwowane ataki Shellshock pochodzą z adresów IP powiązanych z istniejącymi botami Mayhem, a dodatkowo z nowymi adresami IP serwerów, pochodzącymi z różnych krajów, włączając w to U.K., Indonezję, Polskę, Austrię, Australię, Szwecję. Firma MMD zebrała te dane we współpracy z CERT.

Większość dystrybucji Linux ma dołączone poprawki eliminujące zagrożenie Shellshock i podatności Bash Shell, ale wiele serwerów Web, nie instaluje tych aktualizacji automatycznie. Istnieje także wiele innych systemów opartych o Linux, a także urządzeń sprzętowych, które zawierają serwer Web i są podatne na zagrożenia Shellshock. Mogą one być także celem ataków, jeżeli odpowiednie aktualizacje firmware nie zostaną wdrożone lub nie będą dostępne.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200