Cisco и Oracle обнаружили десятки своих продуктов, подверженных уязвимости Shellshock

01.10.2014 | 00:16 Экономика

В Cisco Systems и Oracle кипит работа по идентификации сетевых и других продуктов, которые подвержены критической уязвимости Shellshock.

Уязвимость Shellshock и несколько других, связанных с ней, были обнаружены на прошлой неделе. Они касаются багов при обработке данных интерпретатором командной строки Bash в Unix и Linux системах, передаваемых ему внешними скриптами. Уязвимости позволяют злоумышленникам обмануть определенные процессы, запущенные на уязвимых машинах, чтобы передать вредоносные строки в Bash, а затем выполнить команды в основной ОС.

Исследователь безопасности Роб Фуллер собрал коллекцию доказывающих концепцию эксплойтов Shellshock, полученных из различных источников. Наиболее известные направления атак — веб-серверы, на которых работают CGI-скрипты и SSH-демоны (Secure Shell), хотя другие приложения, взаимодействующие с Bash также являются потенциальными целями.

Cisco обнаружила пока 71 продукт, подверженный уязвимости. Это самые различные продукты, в том числе: сетевые приложения для сервиса и ускорения работы, контента сети и безопасности, управления сетью и инициализации, маршрутизации и коммутации, унифицированной среды вычислений, голосовых и унифицированных коммуникаций, потокового видео, телеприсутствия и транскодирования.

Количество продуктов Cisco, уязвимых для Shellshock и связанных с ним багов, намного превышает 38, которые не имеют данной уязвимости. Компания рассматривает дополнительные 168 продуктов и сервисов, поэтому список уязвимых продуктов, вероятно, увеличится.

«Влияние этой уязвимости на продукты Cisco может варьироваться, в зависимости от конкретного продукта, потому что некоторые направления атаки, такие как SSH, требуют успешной аутентификации для эксплуатации и могут не дать никаких дополнительных привилегий пользователю», заявила Cisco в своем сообщении.

Oracle также в процессе определения того, какие из ее продуктов уязвимы. Пока компания выпустила Shellshock-патчи для девяти продуктов: Oracle Database Appliance 12.1.2 и 2.X; Oracle Exadata Storage Server Software; Oracle Exalogic; Oracle Exalytics; Oracle Linux 4, 5, 6 и 7; Операционная система Oracle Solaris 8, 9, 10 и 11; Oracle SuperCluster; Oracle Virtual Compute Appliance Software и Oracle VM 2.2, 3.2, 3.3.

Еще 42 продукта Oracle используют Bash, по крайней мере одну из версий и, вероятно, будут уязвимы для Shellshock. В настоящее время нет доступных патчей для этих продуктов. Четыре других продукта сейчас исследуются на наличие уязвимых версий Bash.

«Oracle не оценивала влияние этой уязвимости на продукты, которые больше не поддерживаются компанией», заявила Oracle.

Другие производители с продуктами, работающими поверх Linux, будь то аппаратные устройства, SCADA-платформы, специализированные серверы или встраиваемые устройства, скорее всего, выпустят Shellshock-патчи в ближайшее время.

Общее воздействие уязвимости Shellshock и смежных Bash-багов трудно рассчитать, учитывая повсеместный характер этого основного компонента в Unix и Linux мирах и тот факт, что все версии Bash с 1993 года, скорее всего уязвимы. Многочисленные направления атак только добавляют сложность определения того, какие системы находятся в опасности.