[:ar]

في 24 سبتمبر 2014 ظهرت ثغرة جديدة أسمها Shellshock أو Bash Bug

و هي واحدة من أخطر الثغرات التى تم إكتشافها على الإطلاق نظرا لحجم الضرر التتى تسببه وعدد الأجهزة المصابة

 

الثغرة  Shellshock أو Bash Bug تعد أكثر خطورة من الكارثة التى سبقتها في أبريل الماضي heartbleed

كل شئ عن ثغرة Heartbleed

 

timthumb

الثغرة/الضعف تحديدا في الBash.

كل ثغرة بيتم الإعلان عنها بيكون لها كود ،، والثغرة Shellshock  رمزها هو CVE-2014-6271
تم إكتشاف الثغرة من خلال شخص اسمه Stéphane Chazelas

ملحوظة : تم في 25 سبتمبر إكتشاف طريقة جديدة لإستغلال نفس الثغرة .. و رمزها هو CVE-2014-7169
كل التحديثات والترقيعات اللي تم إصدارها غير نهائية.

 

– ماهي الأجهزة المصابة بالثغرة؟

لن نقصد بالثغرة أجهزة على قدر مانقصد أنظمة .. فأي جهاز/خادم يستخدم تلك الانظمة فهو مصاب بالثغرة (Linux, BSD, and Mac OS X)

 

– ما هو الbash؟؟

هو مفسر أوامر لـنظام الUnix وباقى الأنظمة التى امتدت منه .. يعمل معالج أوامر bash عادة في نوافذ نصية مثل ال Terminal

و ببساطة يتم استخدام الbash للتحدث مع النظام من خلال كتابة الاوامر ليقوم النظام بالرد على الاوامر.

attackers-exploit-shellshock-bug-imageFileLarge-2-a-7361

– إذن أين المشكلة مع الbash؟

المشكلة تكمن في أن الbash يسمح للمهاجم/المخترق بتنفيذ أوامر تعسفية (أي اوامر ليس من صلاحياته ان يستخدمها ولكنه حصل عليها بناء على وجود ثغرة)
واكي نشرح الثغرة بشكل أوضح قد بوضع الامر التالى في الTerminal

env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"

السطر الكودى السابق فيه تم تعريف الـFunction داخل المتغير VAR .. وما حدث هو أنه الباش قام بتنفيذ الأمر الذي يلي الـFunction مباشرة

وهو الامر echo لطباعة Bash is vulnerable!

 

– ده أمر طباعة ما الضرر منه؟

المشكلة بالطبع مش في أمر الطباعة لكن المشكلة في إنه من اللمكن تنفيذ أى امر غير الطباعة بدون صلاحيات محدودة .. لك أن تتخيل ما يمكن ان تفعله.

Shellshock

– إذن الثغرة Local exploit ؟

لا .. الكارثة أكبر من ذلك ،، يستطيع أي مهاجم ان يقوم بتنفيذ عمليات التسريب/التخريب على النظام من خلال الويب أي Remote Exploit

وذلك من خلال الـCGI و المقصود تحديدا هو mod_cgi and mod_cgid

 

– ماهو الـCGI؟

إختصار لكلمة Common Gateway Interface .. و وظيفته هو أن يكون وسيط بين المستخدم و الـWeb Server لتحليل كل طلب/Request و الرد عليه/Response من الويب سيرفر.

Shellshock-Image

ومن ما سبق تعريفه فإن عملية إستغلال الثغرة يمكن أن تتم على أى ويب سيرفر عن طريق إرسال الاوامر في الـRequest Headers ليتم تنفيذها على الـbash واللى بدوره بيمرر الأمر وينفذه على النظام.

 

– كيف اتأكد من النظام مصاب ام لا؟

قم بتنفيذ الامر التالي

 

env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"

إذا كانت النتيجة :

Bash is vulnerable!
Bash Test

إذن فالنظام مصاب.

و إن كانت النتيجة بالشكل التالي :

bash: warning: VAR: ignoring function definition attempt
bash: error importing function definition for `VAR’
Bash Test

فالنظام غير مصاب بالثغرة.

bug-malware-virus-security-threat-breach

– كيف يمكن معالجة وترقيع الثغرة؟

يمكنك تجنب ذلك من خلال تحديث النظام :

RedHat Family

yum update bash -y

Ubuntu

apt-get update; apt-get upgrade;

Arch

pacman -Syu

 

 

الجدير بالذكر أن منافس الـBash وهو الـDash غير مصاب بالثغرة.

إعرف الفرق بين Bash vs Dash من هنا

uqynnykl4tipg70vcpvj

إن كنت من عملاء المستضيفون العرب فلا تقلق ،، الفريق التقني و الأمني مراقب جيدا لهذا الخطر فقد كنا نعرف عن الثغرة فور الإعلان عنها.
حتى تم نشر الترقيع الرسمي للثغرة وقد تم تنفيذه فورا على جميع سيرفرات المستضيفون العرب و السيرفرات المدارة من خلالنا.

نفخر لكوننا أستطعنا إنقاذ هذا العدد الكبير من السيرفرات الخاصة بعملائنا من كارثتين Shellshock and HeartBleed خلال الفترة الاخيرة.

إذا كان لديك خادم ويب غير مدار من خلال المستضيفون وترغب في فحص السيرفر من الثغرة وترقيعها .. يمكنك فتح تذكرة جديدة بطلبك من هنا

[:en]

في 24 سبتمبر 2014 ظهرت ثغرة جديدة أسمها Shellshock أو Bash Bug

و هي واحدة من أخطر الثغرات التى تم إكتشافها على الإطلاق نظرا لحجم الضرر التتى تسببه وعدد الأجهزة المصابة

 

الثغرة Shellshock أو Bash Bug تعد أكثر خطورة من الكارثة التى سبقتها في أبريل الماضي heartbleed

كل شئ عن ثغرة Heartbleed

 

timthumb

الثغرة/الضعف تحديدا في الBash.

كل ثغرة بيتم الإعلان عنها بيكون لها كود ،، والثغرة Shellshock رمزها هو CVE-2014-6271
تم إكتشاف الثغرة من خلال شخص اسمه Stéphane Chazelas

ملحوظة : تم في 25 سبتمبر إكتشاف طريقة جديدة لإستغلال نفس الثغرة .. و رمزها هو CVE-2014-7169
كل التحديثات والترقيعات اللي تم إصدارها غير نهائية.

 

– ماهي الأجهزة المصابة بالثغرة؟

لن نقصد بالثغرة أجهزة على قدر مانقصد أنظمة .. فأي جهاز/خادم يستخدم تلك الانظمة فهو مصاب بالثغرة (Linux, BSD, and Mac OS X)

 

– ما هو الbash؟؟

هو مفسر أوامر لـنظام الUnix وباقى الأنظمة التى امتدت منه .. يعمل معالج أوامر bash عادة في نوافذ نصية مثل ال Terminal

و ببساطة يتم استخدام الbash للتحدث مع النظام من خلال كتابة الاوامر ليقوم النظام بالرد على الاوامر.

attackers-exploit-shellshock-bug-imageFileLarge-2-a-7361

– إذن أين المشكلة مع الbash؟

المشكلة تكمن في أن الbash يسمح للمهاجم/المخترق بتنفيذ أوامر تعسفية (أي اوامر ليس من صلاحياته ان يستخدمها ولكنه حصل عليها بناء على وجود ثغرة)
واكي نشرح الثغرة بشكل أوضح قد بوضع الامر التالى في الTerminal

env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"

السطر الكودى السابق فيه تم تعريف الـFunction داخل المتغير VAR .. وما حدث هو أنه الباش قام بتنفيذ الأمر الذي يلي الـFunction مباشرة

وهو الامر echo لطباعة Bash is vulnerable!

 

– ده أمر طباعة ما الضرر منه؟

المشكلة بالطبع مش في أمر الطباعة لكن المشكلة في إنه من اللمكن تنفيذ أى امر غير الطباعة بدون صلاحيات محدودة .. لك أن تتخيل ما يمكن ان تفعله.

Shellshock

– إذن الثغرة Local exploit ؟

لا .. الكارثة أكبر من ذلك ،، يستطيع أي مهاجم ان يقوم بتنفيذ عمليات التسريب/التخريب على النظام من خلال الويب أي Remote Exploit

وذلك من خلال الـCGI و المقصود تحديدا هو mod_cgi and mod_cgid

 

– ماهو الـCGI؟

إختصار لكلمة Common Gateway Interface .. و وظيفته هو أن يكون وسيط بين المستخدم و الـWeb Server لتحليل كل طلب/Request و الرد عليه/Response من الويب سيرفر.

Shellshock-Image

ومن ما سبق تعريفه فإن عملية إستغلال الثغرة يمكن أن تتم على أى ويب سيرفر عن طريق إرسال الاوامر في الـRequest Headers ليتم تنفيذها على الـbash واللى بدوره بيمرر الأمر وينفذه على النظام.

 

– كيف اتأكد من النظام مصاب ام لا؟

قم بتنفيذ الامر التالي

 

env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"

إذا كانت النتيجة :

Bash is vulnerable!
Bash Test

إذن فالنظام مصاب.

و إن كانت النتيجة بالشكل التالي :

bash: warning: VAR: ignoring function definition attempt
bash: error importing function definition for `VAR’
Bash Test

فالنظام غير مصاب بالثغرة.

bug-malware-virus-security-threat-breach

– كيف يمكن معالجة وترقيع الثغرة؟

يمكنك تجنب ذلك من خلال تحديث النظام :

RedHat Family

yum update bash -y

Ubuntu

apt-get update; apt-get upgrade;

Arch

pacman -Syu

 

 

الجدير بالذكر أن منافس الـBash وهو الـDash غير مصاب بالثغرة.

إعرف الفرق بين Bash vs Dash من هنا

uqynnykl4tipg70vcpvj

إن كنت من عملاء المستضيفون العرب فلا تقلق ،، الفريق التقني و الأمني مراقب جيدا لهذا الخطر فقد كنا نعرف عن الثغرة فور الإعلان عنها.
حتى تم نشر الترقيع الرسمي للثغرة وقد تم تنفيذه فورا على جميع سيرفرات المستضيفون العرب و السيرفرات المدارة من خلالنا.

نفخر لكوننا أستطعنا إنقاذ هذا العدد الكبير من السيرفرات الخاصة بعملائنا من كارثتين Shellshock and HeartBleed خلال الفترة الاخيرة.

إذا كان لديك خادم ويب غير مدار من خلال المستضيفون وترغب في فحص السيرفر من الثغرة وترقيعها .. يمكنك فتح تذكرة جديدة بطلبك من هنا

[:]

Leave A Comment

%d مدونون معجبون بهذه: