Что такое shell shock
Всё, что вы хотели знать об уязвимости Shellshock (но боялись спросить)
Помните Heartbleed? Shellshock можно отнести к той же «весовой категории», с таким же стильным названием, хоть и без классного логотипа (кому-то из департамента маркетинга этой уязвимости надо бы этим заняться). Но у Shellshock есть потенциал стать не менее важной птицей, чем Heartbleed. И сейчас я хотел бы собрать воедино всю необходимую информацию, которая поможет всем желающим справиться с ситуацией и избежать возможных проблем из-за неочевидной, на первый взгляд, угрозы.
Для начала позвольте поделиться с вами некоторой информацией из блога Роберта Грэма, который провёл превосходный анализ уязвимости. Рассмотрим представленный ниже HTTP-запрос:
Если его применить к диапазону уязвимых IP, то получим такой результат:
Проще говоря, Роберт заставил кучу удалённых машин пинговать его, просто отправив в сеть специально сформированный запрос. Беспокойство вызывает тот факт, что он заставил эти машины выполнить произвольную команду (в данном случае безобидный ping), что открывает широчайшие возможности.
Что такое Bash и зачем он нам нужен?
Можете пропустить это раздел, если вы уже в теме. Но если вы не знакомы с Bash, то рекомендую ознакомиться с информацией ниже для понимания общей картины. Bash — это командная оболочка (интерпретатор), широко используемая на Linux и Unix-системах, обычно с подключением через SSH или Telnet. Bash также может работать как парсер для CGI-скриптов на веб-сервере, например, на Apache. Свою историю Bash ведёт с 1980-х, где он развился из более ранних реализаций командной оболочки (название происходит от Bourne shell) и невероятно популярен. Конечно, есть и другие интерпретаторы, но Bash идёт по умолчанию в Linux и Mac OS X, которые, как вы понимаете, очень широко распространены. Этот интерпретатор даже признан «одной из наиболее распространённых утилит в Linux-системах». Именно распространённость Bash является главной причиной того, почему Shellshock столь опасен.
Этот график даёт наглядное представление о вездесущности Bash:
Половина интернета работает на Apache (обычно установленный под Linux), и это реально очень, очень много. В той же статье сообщается, что мы уже перешли рубеж в 1 млрд действующих веб-сайтов, а поскольку многие из них расположены на массовых хостингах, то мы имеем дело с огромным количеством установленных копий Bash. И помимо веб-серверов не забудьте ещё и о множестве других серверов и устройств под управлением Linux. Но вернемся к этому позже.
Bash используется для широкого спектра системных задач, от конфигурирования веб-сайтов до управления встроенным ПО в периферийных устройствах, например, веб-камерах. Такие возможности не должны быть открыты всем желающим, и теоретически доступны только авторизованным пользователям, имеющим определённые права доступа. Теоретически.
В чём суть уязвимости?
Степень серьёзности ситуации можно оценить по следующей цитате из базы данных уязвимостей NIST:
GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution.
Уязвимости присвоен уровень «10 из 10», то есть хуже некуда. Добавьте к этому лёгкость осуществления атаки (Access Complexity низкий) и, что ещё важнее, отсутствие необходимости аутентификации для использования Bash с помощью CGI-скриптов. Давайте разберёмся в сути самого бага.
Основная опасность заключается в возможности произвольно задать переменные среды внутри интерпретатора Bash, которая задаёт определение функций. Проблемы начинаются в тот момент, когда Bash продолжает обрабатывать команды интерпретатора после определения функции, что позволяет осуществить атаку с внедрением кода. Возьмём лишь одну строку из примера Роберта:
Конечно, ситуацию можно смягчить просто отключив функционирование CGI. Но во многих случаях это окажет слишком серьёзное влияние на ваш веб-сайт и, как минимум, потребует активного тестирования, чтобы удостовериться в его работоспособности.
Приведённый выше HTTP-запрос прост и эффективен, являясь лишь одним из многих возможных использований этого протокола. Если принять во внимание Telnet и SSH, и, очевидно, даже, DHCP, то масштаб проблемы вырастает многократно, несмотря на то, что мы говорим лишь об атаках на веб-серверы. Пока что опасность имеется только после аутентификации в SSH, но в дальнейшем мы обнаружим и другие векторы атаки.
Необходимо помнить, что возможности злоумышленников простираются далеко за пределы пингования конкретных адресов, как в примере Роберта, это лишь небольшой пример самой возможности управления удалёнными машинами. Сейчас вопрос стоит так: какой вред способны нанести злоумышленники, выполняя различные команды в интерпретаторах удалённых машин?
Каковы потенциальные последствия?
Получение доступа к интерпретатору всегда было большой победой для атакующего, потому что это равнозначно получению контроля над сервером (с соотвествующими правами). Доступ ко внутренним данным, перенастройка окружения, распространение зловредов и так далее. Возможности почти безграничны и автоматизируемы. Есть уже очень много примеров эксплойтов, которые могут быть легко применены против большого количества машин.
К сожалению, когда дело доходит до выполнения произвольного кода в командных интерпретаторах половины веб-серверов интернета, возможности крайне велики. Одна из очевидных и наиболее скверных — это получение доступа ко внутренним файлам. Наибольший интерес будут представлять файлы с паролями и конфигурациями, но доступ можно будет получить вообще ко всем файлам.
То же самое относится и к возможности записи файлов на удалённую машину. Это один из самых лёгких способов замены страниц чужом веб-сайте, не говоря уже о распространении вредоносного ПО. Или как вам вот это?
Когда речь заходит о червях, то подразумевается зловредное ПО, которое создаёт собственные копии на целевой системе. В качестве примера очень эффективного червя можно привести XSS-червя Samy, который инфицировал миллионы веб-страниц менее чем за один день.
Опасность Shellshock ещё и в том, что таким образом может начаться эпидемия заражений, особенно на ранней стадии, пока на большинстве машин не закрыта эта уязвимость. Сами инфицированные машины будут искать новые жертвы и инфицировать их. И опасности сейчас подвержены все публичные машины, а при проникновении за корпоративные фаерволы уже нигде не будет спасения. Люди уже эксплуатируют это прямо сейчас. Сейчас в разгаре настоящая гонка вооружений между теми, кто хочет использовать брешь, и теми, кто хочет её закрыть.
Какие версии Bash подвержены уязвимости?
Все версии за последние почти 25 лет, включая 4.3. Сравните с Heartbleed, опасности которого были подвержены версии OpenSSL за последние два года. Да, люди обновляют версии, но это не делается планомерно, и как ни крути, Shellshock угрожает гораздо большему количеству машин, чем Heartbleed.
Увы, но уязвимость может сохраниться и в последующих версиях. Уже есть сведения о патчах, которые оказались не слишком эффективны. Так что за этой уязвимостью нужно следить очень внимательно, она не из тех вещей, про которые можно забыть после установки патча.
Когда была обнаружена уязвимость?
Первое найденное мной упоминание было в очень короткой заметке на seclists.org, опубликованной в среду около 14-00 по Гринвичу. Более подробная информация была выложена на том же ресурсе час спустя. Так что это очень «свежая» новость, и пока слишком рано говорить о массовом появлении эксплойтов в «дикой природе». Но это может произойти очень скоро, вероятность увеличивается с каждым часом.
Как упоминалось выше, уязвимость существует во всех версиях Bash, созданных за последние 25 лет. Так что, теоретически, всё это время знающие люди могли её использовать.
Наши девайсы под угрозой?
Вопрос интересный, ведь существует множество устройств, потенциально использующих Bash. Я имею в виду «интернет вещей» (IoT), когда всё более широкое распространение получает присваивание IP-адреса каждой мелочи, от вилки до дверного замка и лампочки. Многие «интернет-вещи» используют встроенные версии Linux с Bash. Те же самые девайсы уже продемонстрировали серьёзные прорехи в безопасности, например, с лампочек LIFX можно получать идентификационные данные по Wi-Fi. Так что уже и без уязвимостей вроде Shellshock мы оказались в ситуации, когда, подключая к сети всевозможные устройства и предметы, мы получаем множество новых уязвимостей в тех сферах, которые ранее были абсолютно безопасны.
Это ставит перед нами множество новых задач. Например, кто-нибудь задумывается о том, чтобы регулярно ставить патчи на лампочки? Учитывая «долговечность» подобных устройств, вряд ли кто-то будет заниматься поддержкой встроенного ПО. Вспомните историю с камерами Trendnet, произошедшую пару лет назад. Несомненно, огромное их количество всё ещё остаётся подключёнными к сети, потому что с точки зрения обновления ПО их гораздо проще поставить и забыть. Есть Твиттер-аккаунт, целиком посвящённый публикации снимков с подобных камер, когда их владельцы даже не знают, что их снимают. Это большая проблема, ведь обновление ПО периферийных устройств зачастую затруднено, так что нас со временем будет окружать всё больше устройств и предметов со всевозможными уязвимостями.
Но интерпретатор Bash также уже присутствует во многих привычных устройствах, например, домашних роутерах. Когда вы в последний раз обновляли его прошивку? Конечно, если вы читаете этот текст, то, вероятно, вы из тех, кто регулярно занимается подобными вещами. Но обычные пользователи об этом даже не думают.
У нас всё работает на ПО от Microsoft, нам надо беспокоиться?
Короткий ответ — нет, длинный — да. Несмотря на то, что существуют версии Bash под Windows, для этой экосистемы данная утилита не является сколь-нибудь распространённой. Также неясно, имеют ли уязвимость Shellshock Windows-версии Bash.
Однако тот факт, что вы работаете в исключительно в Windows-среде не означает, что Bash отсутствует на машинах, обслуживающих отдельные задачи вашей сети. В качестве поясняющей картинки хочу привести иллюстрацию из поста Ника Крэйвера:
Как видите, трафик проходит от вашей Windows-среды через неWindows-устройства. Могут быть компоненты, имеющие привилегии над фаерволом, что можно будет натворить тогда с помощью Shellshock?
Я сисадмин, что я могу сделать?
Во-первых, очень легко определить, находитесь ли вы в зоне риска. Нужно просто выполнить эту команду в вашем интерпретаторе (позволил себе немного изменить изначальную команду — прим. pkruglov):
Если выведется «busted», то уязвимость присутствует.
Конечно, нужно в первую очередь закрыть дыру. Патч существенно снизит риск выполнения чужого кода в конце Bash-функции. Для ряда Linux-дистрибутивов, например, Red Hat, уже появились инструкции, так что займитесь этим как можно скорее (на самом деле, уже для большинства дистрибутивов вышли патчи — прим. pkruglov).
Уже появились инструкции по обновлению систем обнаружения вторжений (IDS), и их немедленно надо взять на вооружение различным организациям, особенно тем, в которых нужно проводить длительные тестирования перед установкой патчей. Провайдер Qualys предложил свой способ определения атаки, наверняка и многие другие IDS-провайдеры работают над этой проблемой.
Более кардинальные способы включают в себя замену Bash на другой интерпретатор, или блокирование подверженной риску системы. Оба способа могут иметь далеко идущие последствия, их не стоит применять бездумно. Но именно это может стать главной особенностью Shellshock: быстрое принятие трудных решений, которые могут оказать серьёзное влияние на реальный бизнес, ради избегания потенциально куда более значительного ущерба.
Ещё один вопрос встаёт куда более острее: эксплуатировался ли Shellshock уже кем-то ранее? Это сложно определить, если не фиксировались векторы атаки. И часто этого не будет происходить, если атака будет проводиться через HTTP или POST-запрос. На вопрос «были ли мы атакованы через Shellshock» самым частым ответом будет такой: у нас нет доказательств, что мы закрыли эту уязвимость. Это оставляет владельцев веб-сайтов и прочих систем в неприятной неизвестности относительно того, были ли они скомпрометированы.
Я пользователь, что я могу сделать?
Зависит от конкретной ситуации. Если вы пользуетесь Mac OS X, то эта уязвимость будет легко (и, надеемся, быстро) закрыта с помощью стандартного механизма обновлений. Проверить, находитесь ли вы в зоне риска, можно легко с помощью теста:
Это простой тест, хотя я сомневаюсь, что средний пользователь Мас с лёгкостью последует советам и перекомпилирует Bash.
Большее беспокойство вызывают устройства, обновление ПО которых затруднено, например, роутеры. Проблема усугубляется тем, что зачастую роутеры предоставляются в аренду провайдерами и пользователи не имеют доступа к панели управления. Помножьте это на огромное количество моделей. При этом перепрошивка роутера тоже не входит в список привычных дел среднестатистического пользователя.
Вкратце, советы пользователям таковы: устанавливайте обновления системы безопасности, не игнорируйте советы своего провайдера и поставщиков используемого вами оборудования со встроенным ПО. Остерегайтесь писем, запрашивающих информацию или дающих инструкции по запуску ПО, подобные послания часто приходят во время фишинговых атак, эксплуатирующих «модные» пользовательские страхи.
Судя по всему, мы находимся только в самом начале нашего исследования глубин этой уязвимости. Конечно, проведено много параллелей с Heartbleed, и в чём-то нам это даже помогло. На примере Heartbleed мы знаем, что ситуация может ухудшиться очень быстро, а последствия мы будем разгребать ещё очень долгое время.
Но в данном случае всё может быть куда хуже, чем с Heartbleed. Если та уязвимость позволяла получить удалённый доступ к небольшому количеству данных в памяти заражённой машины, то Shellshock даёт возможность внедрить произвольный код, что потенциально гораздо опаснее. В этом плане я соглашусь с Робертом:
Полагаю, пройдет день-два, и мы поймем, что это были еще только цветочки.
Невидимые раны: «снарядный шок»
Эпоха индустриальных войн «подарила» человечеству не только новые виды вооружения, но и дала многочисленные примеры невероятных прежде травм, как физических, так и психических. Под названием «shell shock», как его стали называть англичане, т.е. «снарядный шок», можно понимать различные отклонения в психическом здоровье солдат вследствие постоянного пребывания в экстремальных условиях на передовой. Реабилитация такого рода заболеваний стала насущной проблемой всего XX столетия, актуальной до сих пор.
В поисках причин и методов лечения
Количество военнослужащих, у которых нарушилась координация движений, появились проблемы со сном, звон в ушах, амнезия, беспричинный тремор, судороги и другие симптомы явного психического расстройства, после начала Первой мировой оказалось настолько велико, что это стало проблемой для командования. Один австралийский солдат в письме домой так описывал своё состояние:
К 1916 году военные медики всех воюющих армий искали эффективные средства для лечения таких солдат – которые могли не иметь видимых травм, но которые непрерывно страдали и не были способны более ни к боевым действиям, ни к жизни в тылу.
Британский историк Фиона Рейд пишет, что более 80 000 случаев психических расстройств было зафиксировано в британских частях на Западном фронте, от 200 000 до 300 000 случаев в немецкой армии, во французской число сходных потерь было примерно таким же, как и у немцев, а возможно и выше. Для понимания ситуации в русской армии можно процитировать историка Александра Асташова:
«Начиная с осени 1915 года количество душевнобольных в армии стало нарастать. К концу первой половины войны их количество составило 50 000, то есть в соотношении с общим количеством призванных – 0,5%. Случаи помешательства особенно усилились во время тяжелых боев лета 1916 года. Солдаты сообщали, что можно только «глядючи сойти с ума». В письмах отмечалось, что воевать может только «ненормальный человек», так как «эта война сгубила не пулей, а духом», стали приходить сообщения о «массовых психических заболеваниях» в районе боевых действий».
Эти случаи ставили в тупик военных врачей, поскольку число заболевших было чрезвычайно велико по сравнению с военными конфликтами прежней эпохи. Как бы его ни называли, «shell shock» или «военный невроз», это явление привлекло внимание психиатров и неврологов, но внятного объяснения и лечения болезни никто из них предложить не мог.
Впервые термин употребил в 1915 году в своей статье для журнала «Lancet» британский психолог Чарльз Майерс, работавший с пострадавшими солдатами Британского экспедиционного корпуса во Франции. Как подчёркивает Фиона Рейд, «диагноз был настолько же эмоционально верен, насколько медицински неточен». Военные медики пытались изобрести разные термины на замену предложенного Майерсом, но не добились успеха. Во французской армии обсуждались такие варианты, как «commotion cerebrale» (контузия), «accidents nerveux» (нервное потрясение) и «obusite» (возможно, калька с английского, «obus» по-французски означает снаряд). Немцы, как и русские психиатры, нарекли это «военным неврозом» или «военной истерией», но в народной среде таких больных называли Kriegszitterer (т.е. те, кто дрожит от войны) или Schüttler (трясуны).
Во Франции, остро нуждавшейся в каждом солдате, которого можно было вернуть в строй, к лету 1917 года при каждой армии был учреждён свой собственный госпиталь на 200 коек, специализировавшийся на неврологических больных, примерно в 25 км от фронта. Тяжёлых пациентов оттуда направляли в глубокий тыл в психиатрические и неврологические больницы. Всех солдат с неврологическими диагнозами немедленно отправляли в эти армейские госпитали, поскольку врачи хотели начать лечение до того, как процесс станет необратимым.
После войны, как описывает Фиона Рейд, ветераны, страдавшие от «shell shock», получали пенсии по инвалидности, только если нуждались в постоянном больничном лечении. Но в этом случае вся их мизерная пенсия уходила на оплату медицинских услуг. Таких солдат часто называли «les morts-vivants» (живые мертвецы). Они не пользовались поддержкой со стороны политиков и не замечались обществом. Символично, что жёны этих помещённых в больницы «живых мертвецов» также получали пенсии, одинаковые с пенсиями вдов погибших на войне. Лишь в 1929 году этим людям стали выплачивать постоянные пенсии, как и другим инвалидам войны.
В литературе и кино
Писатели или режиссёры после войны иногда обращались к образам безумцев, которые оказались заключены в тюрьму своего военного опыта, не способные выйти оттуда уже никогда. В романе Ремарка «Возвращение» дан яркий образ ветерана, страдающего от такого заболевания. Любопытно, что писатель, сам ветеран, видит разницу между сумасшедшими и контуженными, хотя многие демонстрировали схожие симптомы:
«Гизекке здоровается с нами за руку. Мы поражены его поведением: мы ждали, что он, как обезьяна, будет прыгать, беситься, гримасничать или, по меньшей мере, трястись, как контуженные, что просят милостыню на углах, но он только жалко улыбается, как-то странно кривя губы…
Во время боев под Флери Гизекке разрывом снаряда засыпало, и, придавленный балкой, он долго пролежал, прижатый лицом к вспоротому до самого бедра животу другого солдата. У того голова не была засыпана; он все время кричал, и с каждым его стоном волна крови заливала лицо Гизекке. Постепенно у раненого стали выпирать наружу внутренности, и это грозило Гизекке удушьем. Чтобы не задохнуться, он то и дело втискивал их обратно в живот раненого. И всякий раз слышал при этом глухой рев несчастного. Все это Гизекке рассказывает вполне гладко и последовательно.
– Так вот каждую ночь, – говорит он, – я задыхаюсь, и комната наполняется скользкими белыми змеями и кровью» (пер. с нем. М. Горкина).
В искусстве начала XXI века трагический образ солдата, не выдержавшего испытание войной и потерявшего рассудок, продолжает оставаться актуальным. Французский режиссер Габриэль Ле Бомэн написал сценарий и снял в 2005 году свой первый в карьере фильм «Фрагменты Антонена» («Les fragments d’Antonin»), посвящённый судьбе одного из бесчисленных французских «пуалю», оказавшихся в психиатрических лечебницах после войны.
Сюжет фильма достаточно прост. В 1919 году в одной из больниц содержится ветеран Антонен Версе (роль, доставшаяся актеру Грегори Деранжеру). Его случай не уникален, но обстоятельства его госпитализации всё же несколько необычны. Он был найден бредущим по дороге, абсолютно дезориентированный, не способный говорить и вообще устанавливать какой-либо контакт. Никаких видимых повреждений, ран, контузий у него не наблюдалось, потому не было понятно, почему он находится в таком состоянии и как именно его можно вывести из него.
Сам режиссёр говорил после премьеры, что замысел картины возник у него после просмотра документального фильма, снятого для одного музея и посвящённого боевым психическим травмам Первой мировой войны. Режиссёр изучил архивы и нашёл серию киноплёнок 1917–1920 гг., на которых были запечатлены «шокирующие картины»: ветераны были засняты в состоянии помрачения рассудка и удивительного возбуждения. «Что они там видели? Что они совершили, чтобы стать такими?» – вопрошает Ле Бомэн.
Антонен привлекает внимание военного медика, профессора Лабрусса (Орельен Рекуан), который стремится разобраться, что же произошло с солдатом. Другой медик, профессор Лантье (Нильс Ареструп), пытается избавиться от пациентов Лабрусса, пугающих других больных и посетителей больницы. Дальше в фильме разворачивается серия флэшбеков, которые раскрывают перед нами события, приведшие Антонена в такое состояние. Одновременно демонстрируются методы профессора Лабрусса, который посредством вещей, найденных у солдата (те самые фрагменты, что вынесены в название), а также каких-то обычных для войны деталей обмундирования пытается пробудить какие-то воспоминания и заставить Антонена заговорить. Но солдат лишь настойчиво бормочет несколько имён, которые ничего не говорят врачам и никак не объясняют произошедшее.
По мнению режиссера фильма, утрата Антоненом рассудка может объясняться теми картинами, которые открылись ему во время войны. Сам Версе – бывший учитель, тонко чувствующий других людей и природу человек, который подобно поэтам или писателям много думает о войне и её жертвах. Ретроспективно перед нами разворачиваются картины окопной жизни и атаки вражеских позиций (здесь, правда, режиссёр не обошёлся без некоторых штампов), ужаса прифронтового госпиталя (особенно сильна сцена, в которой хирург определяет, кого из раненых нужно спасать, руководствуясь жёсткой логикой военного), столкновения маленького человека и военной машины (сцена расстрела Симона Криефа и танец негров из колониальных войск).
Каждый из встретившихся Версе героев размывает, как говорит режиссёр в своём интервью, «тонкую грань между добром и злом» и переводит «внешний конфликт в конфликт внутренний». Наконец, после роковой встречи с несколькими дезертирами, Антонен не выдерживает накопившегося груза кошмаров и сходит с ума. Режиссёр дарит надежду на спасение, которая приходит в образе медсестры Маделены (Анук Гринберг). Единственный упрёк, который можно адресовать режиссёру в данном случае, это то, что встреча героев в больнице слишком хороша для простой случайности.
Надо отметить хорошую работу историков-консультантов, а также художников данного фильма. Атмосфера фронта, тёмные, серо-синие тона, в тон французской военной форме, лесов, укреплений, прифронтового госпиталя и окопов, контрастируют с яркими и залитыми светом сценами послевоенной лечебницы. Вполне достоверна и служба, которой занят Антонен Версе – она действительно существовала в годы Первой мировой войны. Почтовые голуби, повозка с которыми вручена главному герою, многое сделали для обеспечения связи между военными подразделениями и штабом во время битвы при Вердене, на Сомме и других крупных сражениях Великой войны.
«Военный невроз», «контузия», «shell shock» в годы Первой мировой войны часто мыслились как последствие реальной физической травмы или неких невероятных ужасов, пережитых заболевшими. Спустя столетие «shell shock» выступает как один из значимых символов мирового конфликта, как «место памяти» (говоря словами французского историка Пьера Нора), которое вбирает в себя все самые травматичные и болезненные моменты войны. Режиссёр Габриэль Ле Бомэн объяснял: