Bash Bug | OS X, UNIX, Linux, Virüs Tehdidi

VİRÜS TANIMI

Virüs Türü: Virüs / Hata / Kötü amaçlı yazılım
Diğer adı: CVE-2014-6271

"Bash" Bug Virüsü nedir?

Shellshock güvenlik açığı olarak da bilinen "bash bug" tüm kullanıcılar için ciddi bir tehdit oluşturur. Bu tehdit, saldırganların elektronik cihazların kontrolünü ele geçirmelerini sağlamak için Linux ve Mac OS X sistemlerinde yaygın olan Bash sistem yazılımından faydalanır. Bir saldırgan, etkilenen servislerle aynı ayrıcalıklarla sistem düzeyinde komutları çalıştırabilir.

Bu kusur bir saldırganın kötü amaçlı bir yürütülebilir dosyayı, Bash başlatıldığında yürütülen bir değişkene uzaktan eklemesine olanak tanır.

İnternetteki örneklerin çoğunda saldırganlar Bash içinde yazılan CGI komutlarını barındıran web sunucularına uzaktan saldırır.

Yazma sırasında güvenlik açığı çoktan kötü amaçlar için kullanılır, kötü amaçlı yazılımlarla ve korsan saldırılarıyla savunmasız web sunucularına virüs bulaştırır. Araştırmacılarımız sürekli olarak bu güvenlik açığını baz alarak yeni örnekler ve virüs belirtileri topluyorlar. Bu kötü amaçlı yazılımla ilgili daha fazla bilgi yakında yayınlanacak.

Bu güvenlik açığı Bash komut yorumlayıcıda bulunur ve saldırganın sistem düzeyindeki komutları Bash ortamı değişkenlerine iliştirmesine olanak tanır.

"Bash" Hatası Nasıl Çalışır?

Bir web sunucusunda CGI komutu varsa bu komut otomatik olarak belirli ortam değişkenlerini okur. Örneğin; IP adresiniz, tarayıcı sürümünüz ve yerel sistemle ilgili bilgiler.

Ancak bu normal sistem bilgilerini CGI komutuna geçirmenin yanı sıra komuta sistem düzeyindeki komutları yürütmesini de söyleyebildiğinizi hayal edin. Bunun anlamı, web sunucusunun giriş bilgileri olmadan, siz CGI komutuna erişir erişmez ortam değişkenlerinizi okuyabilmesidir. Bu ortam değişkenleri güvenlik açığı satırını içeriyorsa aynı zamanda belirlediğiniz komutu da yürütür.

Bash hatasını benzersiz kılan özellikleri

1. Yararlanılması çok kolaydır
2. Bash virüsünün etkisi çok ciddidir
3. Bash yorumlayıcısını kullanan her tür yazılımı etkiler

Araştırmacılar; PHP, JSP, Python veya Perl gibi diğer yorumlayıcıların da etkilenip etkilenmediğini anlamaya çalışıyorlar. Kodun nasıl yazıldığına bağlı olarak yorumlayıcı gerçekten belirli işlevleri yürütmek için Bash'i kullanır. Bu durumda diğer yorumlayıcılar da CVE-2014-6271 güvenlik açığından faydalanmak için kullanılabilir.

Araştırmacılar; PHP, JSP, Python veya Perl gibi diğer yorumlayıcıların da etkilenip etkilenmediğini anlamaya çalışıyorlar. Kodun nasıl yazıldığına bağlı olarak yorumlayıcı gerçekten belirli işlevleri yürütmek için Bash'i kullanır. Bu durumda diğer yorumlayıcılar da CVE-2014-6271 güvenlik açığından faydalanmak için kullanılabilir.

Örneğin yönlendiriciler, ev aletleri ve kablosuz erişim noktaları gibi CGI komutlarını kullanan çok sayıda yerleşik cihaz olduğundan etkisi inanılmaz derecede yüksektir. Bunlar savunmasızdır ve çoğu durumda yamalanması zordur.

Cihazınızın Virüs Kapıp Kapmadığını Anlama

Sisteminizin savunmasız olup olmadığını kontrol etmenin en kolay yolu, sisteminizde bir Bash kabuğu açmak ve aşağıdaki komutu yürütmektir:

Kabuk "savunmasız" ifadesini döndürürse sisteminizi güncellemeniz gerekir.

Red Hat, kullanıcıların savunmasız Bash sürümlerini test etmelerine olanak tanıyan bir tanılama adımının bağlantılarını içerir. Bkz. https://access.redhat.com/articles/1200223

Bash virüsü kapıp kapmadığınızı anlamanın başka bir yolu, HTTP kayıtlarınızı incelemek ve şüpheli bir şey olup olmadığını kontrol etmektir. Aşağıda kötü amaçlı bir modelin örneğini bulabilirsiniz:

Bash yorumlayıcısına gönderilen her komutu kaydeden bazı Bash yamaları da vardır. Bu, birinin makinenizin açıklarından yararlanıp yararlanmadığını görmek için iyi bir yoldur. Birinin bu açıktan faydalanmasını önlemez ancak saldırganın eylemlerini sisteme kaydeder.

"Bash" Hata Virüsü Nasıl Durdurulur?

Yapmanız gereken ilk şey, Bash sürümünüzü güncellemektir. Farklı Linux sürümleri bu güvenlik açığı için yamalar sunar. Tüm yamaların gerçekten etkili olduğu henüz kanıtlanmamış olsa da yamalamak, yapılması gereken ilk şeydir.

IDS/IPS kullanıyorsanız bunun için bir imza eklemenizi/yüklemenizi de öneririz. Çok sayıda herkese açık kural yayınlandı.

Web sunucusu yapılandırmanızı da inceleyin. Kullanmadığınız CGI komutları varsa bunları devre dışı bırakmayı düşünün.

"Bash" Hata Virüsü ile ilgili diğer makaleler ve bağlantılar

• Onion Fidye Yazılımı (Şifreleme Trojanı)
• Shylock Bankacılık Trojanı
• Mac Güvenlik Tehditleri
• Kaspersky Anti-Virus for Linux File Server
• Kaspersky Endpoint Security for Linux
• Kaspersky Security for Linux Mail Server
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Anti-Virus
• Kaspersky Internet Security for Mac