รวมบริการที่ได้รับผลกระทบจาก Shellshock: cPanel, SSH, OpenVPN, PureFTPD, DHCP

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 1 ตุลาคม 2014.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    ช่องโหว่ Shellshock เปิดเผยออกมาตั้งแต่สัปดาห์ที่แล้ว ตอนนี้ความสับสนหลักคงเป็นว่าเซิร์ฟเวอร์ทั่วไปจะได้รับผลกระทบจากมันมากน้อยแค่ไหน ตอนนี้ก็เริ่มมีการรวมฐานข้อมูลของแอพพลิเคชั่นที่ได้รับผลกระทบออกมาแล้ว อยู่ใน GitHub ที่ชื่อว่า shellshocker-pocs

    บทสรุปผู้บริหาร: สั่งอัพเกรดเซิร์ฟเวอร์ทุกตัวเถอะครับ

    รายงานแอพพลิเคชั่นที่รับผลกระทบกลุ่มแรก คือ เว็บเซิร์ฟเวอร์ในกลุ่ม mod_cgi ที่ได้รับผลกระทบไปก่อน แอพพลิเคชั่นสมัยใหม่มักไม่ใช้ mod_cgi แล้ว แต่เซิร์ฟเวอร์ที่ใช้ cPanel ก็ได้รับผลกระทบ โดยเซิร์ฟเวอร์ 2.9% ที่ Sucuri ตรวจสอบ ยังคงใช้ mod_cgi อยู่สองไฟล์

    Phusion Passenger แอพพลิเคชั่นเซิร์ฟเวอร์ก็ติดร่างแหไปด้วย เพราะใช้ bash ระหว่างการ spawn ทางโครงการระบุว่าบั๊กนี้ไม่ใช่ปัญหาของ Passenger โดยตรง ที่ทำได้คือให้รีบอัพเกรด bash

    กลุ่มต่อมาคือ DHCP client ในลินุกซ์สามารถถูกโจมตีได้จากเซิร์ฟเวอร์ DHCP ที่มุ่งร้าย ผู้ร้ายอาจจะตอบ DHCP แทนเซิร์ฟเวอร์ตัวจริงโดยใส่คำสั่งให้เครื่องที่ได้ข้อความ DHCP รันสคริปต์ได้ บั๊กนี้ค่อนข้างร้ายแรงมาก ทุกคนควรอัพเกรดเครื่องก่อนจะไปรับค่า DHCP จากเครือข่ายที่ไม่รู้จัก (เช่น Wi-Fi ฟรีทั้งหลาย)

    SecureShell หรือ SSH ได้รับผลกระทบหลายรูปแบบ ช่องโหว่หนึ่งคือการข้ามคำสั่งใน ForcedCommand ที่คอนฟิกไว้ในเซิร์ฟเวอร์ได้ เพราะผู้ใช้อาศัย Shellshock เข้ามาเรียก bash โดยตรง ทำให้ได้ prompt ก่อนที่จะรันคำสั่งที่กำหนด อีกช่องโหว่หนึ่งคือการยืนยันตัวตนด้วยปัจจัยที่สอง (2-factor authentication) ที่บางระบบอาจจะมีช่องโหว่ Shellshock ทำให้ผู้ใช้ที่รู้รหัสผ่านสามารถรันคำสั่งโดยไม่ต้องยืนยันตัวตนด้วยปัจจัยที่สองอีกครั้ง

    สำหรับแอพพลิเคชั่นอื่นๆ ที่ได้รับผลกระทบแล้ว เช่น

    • OS X มีตัวอย่างการเข้าถึงสิทธิ root โดยการรัน VMWare Fusion
    • SIP Proxy หลายรายที่แยกออกมาจาก SER สามารถถูกโจมตีได้จากข้อความ SIP INVITE ทำให้รันสคริปต์ตามที่แฮกเกอร์ต้องการได้
    • Qmail เซิร์ฟเวอร์อาจจะถูกสั่งให้รันคำสั่งใดๆ จากอีเมลที่ส่งเข้ามา โดยถูกโจมตีผ่านฟิลด์ MAIL FROM เพราะ Qmail จะรัน bash โดยตั้งตัวแปรใน bash ด้วยค่าจาก MAIL FROM นี้
    • Pure-FTPd สามารถถูกโจมตีได้จากช่อง username
    • OpenVPN สามารถโจมตีผ่านการยืนยันผู้ใช้ด้วย AuthPAM

    นอกจากนี้ยังมีบริการอื่นๆ ที่คาดว่าน่าจะได้รับผลกระทบแต่ยังไม่ยืนยัน เช่น ejabberd, Mailman, MySQL, BIND9

    รายการช่องโหว่ยังอัพเดตเรื่อยๆ ระหว่างนี้ทางแก้ง่ายที่สุดคือรีบอัพเดต bash ให้เร็วที่สุดครับ

    ฺShellshock, Bash, Security
     
    iPokz, 1 ตุลาคม 2014
    #1

แบ่งปันหน้านี้