Злоумышленники используют уязвимость Shellshock

Критическая уязвимость Shellshock была обнаружена на прошлой неделе. Она присутствует во всех версиях командного интерпретатора Bash, который используется в различных дистрибутивах и модификациях Linux, Unix, Apple OS X и Android. С ее помощью злоумышленники могут удаленно устанавливать в уязвимые системы вредоносное ПО. С точки зрения масштаба и возможных последствий Shellshock можно сравнить с известной Heartbleed, ей присвоен наивысший десятый уровень опасности по шкале оценки уязвимостей.
 
В течение нескольких дней после обнаружения Shellshock специалисты ESET наблюдали несколько вариантов вредоносных программ, которые устанавливались на Linux-серверы с помощью эксплуатации данной уязвимости. Для этого используется специальный HTTP-запрос, который приводит к срабатыванию уязвимости в интерпретаторе Bash. Сам интерпретатор вызывается одним из CGI-скриптов, который получает поля этого HTTP-запроса, сформированного злоумышленником. В качестве текста полей запроса злоумышленники указывают определенную последовательность символов, а затем задают команды для копирования вредоносного файла с удаленного сервера и его исполнения.
 
Антивирусные продукты ESET NOD32 еще до обнаружения уязвимости Shellshock защищали пользователей от действия этих вредоносных программ, детектируя их как Linux/DDoS.M и OSX/Tsunami.A. Первая представляет собой бэкдор, который используется злоумышленниками для исполнения команд на зараженном сервере. Linux/DDoS.M может выступать и в роли DDoS-бота – получив соответствующие команды, программа будет посылать сетевые пакеты выбранной жертве. В свою очередь, OSX/Tsunami.A – это DDoS-бот, ориентированный на компьютеры под управлением Apple OS X.  
 
Эксперты ESET рекомендуют системным администраторам установить соответствующие обновления для используемых дистрибутивов Linux, а пользователям – сменить пароли для веб-сервисов, так как они могут быть скомпрометированы.