کرم جدید Shellshock به دنبال آسیب پذیری سیستم ها از طریق IP
کرم جدید Shellshock به دنبال آسیب پذیری سیستم ها از طریق IP
در ماه سپتامبر 2014 آسیب پذیری خطرناکی به نام Shellshock کشف شد که به حمله کننده اجازه اجرآ دستورات دلخواه خود را در Bash با ضمیمه کردن دستورات، به عنوان پسوند در یک تابع متغییر (variable function)، را میدهد. این پوسته (Shell) در بسیاری از سرویس های اینترنت مانند سرور های وب موجود است و به همین دلیل این نقض را باید مشکل ساز تلقی نمود.
در اواسط ماه نوامبر 2014، حمله کنندگان (احتمالآ از کشور رومانی) در حال اسکن کردن سیستم ها و شبکه های آسیب پذیرها بوده و چندین سیستم را نفوذ کردند. در ماه دسامبر همان سال مجرمین بر دستگاه های ذخیره سازی متصل به شبکه (QNAP NAS) متمرکز شدند و به موارد بروزرسانی نشده دسترسی پیدا کردند.
امسال افزایش قابل ملاحظه ای در ابعاد و گسترش اسکن های دستگاه های آسیب پذیر توسط این کرم مشاهده شد. کارشناسان میگویند که این بدافزار دارای یک script با 26356 آدرس IP است که برای اسکن (با باینری اسکن ELF) استفاده میشود.
پس از یافتن یک سیستم آسیب پذیر، به لیست اسکن ها اضافه میشود و مورد نفوذ قرار میگردد. سپس یک لیست از تمامی سیتم های آسیب پذیر و نفوذ شده به حمله کننده ارسال میگردد. سیستم های و هاست های نفوذ شده تحت کنترل (enslave) این بدافزار درمی آیند.
با توجه به آلودگی های گسترده این کرم و همچنین موجود بودن پچ (Patch) برای این آسیب پذیری، بسیاری از مدیران IT این پچ را نصب نکرده، بنابراین امکان آسیب پذیری سیستم ها و شبکه ها وجود دارد.
