Через неделю после сообщения об уязвимости Shellshock в программе Bash (CVE-2014-6271) появился и первый эксплоит, который использует эту уязвимость. О выходе вредоносной программы сообщила компания Websense.
К сожалению, программа Bash исключительно популярна и поставляется с большинством дистрибутивов Linux, в том числе она работает на многих веб-сайтах. По информации специалистов Websense, эксплоит представляет собой Linux-бэкдор, способный осуществлять DDoS-атаки, брутфорсить пароли и получать команды от управляющего C&C-сервера. IRC-бот, написанный на языке программирования Perl, распространяется среди уязвимых веб-серверов, самостоятельно находя новые жертвы для заражения.
Websense сообщает, что обнаружила четыре варианта Linux-бэкдора и несколько версий IRC-бота. Командные серверы ботнета находятся по следующим адресам:
- 208[.]118[.]61[.]44
- 27[.]19[.]159[.]224
- 89[.]238[.]150[.]154
- 212[.]227[.]251[.]139
Что характерно, Websense наблюдала вредоносный трафик к данным серверам с 2012 года. Это может свидетельствовать, что кто-то узнал об уязвимости в Bash ещё несколько лет назад.
Уязвимость допускает удалённое исполнение кода на компьютере, где установлен Bash. Это связано с некорректной обработкой переменных окружения и определений функций. В текущих версиях Bash переменная окружения именуется так же, как функция, а определение функции начинается со знаков “() {”. Уязвимость связана с тем, что Bash не останавливается после обработки определения функции, а продолжает парсить код и выполнять команды оболочки, которые следуют дальше. Таким образом, переменную окружения с произвольным именем можно использовать как носителя для доставки на компьютер жертвы нужных команд.
Кроме CVE-2014-6271, Websense обнаружила ещё пять уязвимостей в Bash.
CVE-2014-6277
CVE-2014-6278
CVE-2014-7169
CVE-2014-7186
CVE-2014-7187
