Через неделю после сообщения об уязвимости Shellshock в программе Bash (CVE-2014-6271) появился и первый эксплоит, который использует эту уязвимость. О выходе вредоносной программы сообщила компания Websense.

К сожалению, программа Bash исключительно популярна и поставляется с большинством дистрибутивов Linux, в том числе она работает на многих веб-сайтах. По информации специалистов Websense, эксплоит представляет собой Linux-бэкдор, способный осуществлять DDoS-атаки, брутфорсить пароли и получать команды от управляющего C&C-сервера. IRC-бот, написанный на языке программирования Perl, распространяется среди уязвимых веб-серверов, самостоятельно находя новые жертвы для заражения.

Websense сообщает, что обнаружила четыре варианта Linux-бэкдора и несколько версий IRC-бота. Командные серверы ботнета находятся по следующим адресам:

  • 208[.]118[.]61[.]44
  • 27[.]19[.]159[.]224
  • 89[.]238[.]150[.]154
  • 212[.]227[.]251[.]139

Что характерно, Websense наблюдала вредоносный трафик к данным серверам с 2012 года. Это может свидетельствовать, что кто-то узнал об уязвимости в Bash ещё несколько лет назад.

Уязвимость допускает удалённое исполнение кода на компьютере, где установлен Bash. Это связано с некорректной обработкой переменных окружения и определений функций. В текущих версиях Bash переменная окружения именуется так же, как функция, а определение функции начинается со знаков “() {”. Уязвимость связана с тем, что Bash не останавливается после обработки определения функции, а продолжает парсить код и выполнять команды оболочки, которые следуют дальше. Таким образом, переменную окружения с произвольным именем можно использовать как носителя для доставки на компьютер жертвы нужных команд.

Кроме CVE-2014-6271, Websense обнаружила ещё пять уязвимостей в Bash.

CVE-2014-6277
CVE-2014-6278
CVE-2014-7169
CVE-2014-7186
CVE-2014-7187



1 комментарий

  1. 03.10.2014 at 15:36

    «Это может свидетельствовать, что кто-то узнал об уязвимости в Bash ещё несколько лет назад» — скорее всего, эти C&C просто использовались для управления и другими ботнетами.

Оставить мнение