Naujoji spraga aptikta programinės įrangos komponente „Bash“ („Bourne-Again Shell“) – tai yra daugelyje „Unix“ sistemų naudojama komandinė eilutė. „Unix“ pagrindu yra sukurta daug kitų operacinių sistemų, pvz., „Linux“ ir „Mac OS X“.
Pasinaudojęs „Shellshock“ spraga įsilaužėlis gali nuotoliniu būdu perimti praktiškai bet kokios „Bash“ naudojančios sistemos valdymą.
Anot ekspertų, tai yra gerokai rimtesnė spraga nei anksčiau šįmet išgarsėjęs „Heartbleed“ pažeidžiamumas.
„Jei „Heartbleed“ leido tik perimti informaciją, ši spraga suteikia tiesioginę prieigą prie pačios sistemos, – sakė Surėjaus universiteto profesorius Alanas Woodwardas. – Durys yra plačiai atvertos.“
Manoma, kad „Heartbleed“ spraga pavojų kėlė maždaug 500 tūkst. įrenginių visame pasaulyje. Išankstiniais vertinimais, kuriuos ekspertai vadina „konservatyviais“, dėl „Shellshock“ pavojuje atsidūrė mažiausiai 500 mln. įrenginių visame pasaulyje.
Didžiausia problema ta, kad didelė dalis interneto serverių naudoja „Apache“ sistemą, kurioje taip pat yra „Bash“ komponentas.
Kibernetinio saugumo specialistai iš „Rapid7“ naująjį pažeidžiamumą dešimtbalėje skalėje įvertino maksimaliu balu, pabrėždami, bet jis ne tik kelia pavojų dideliam skaičiui įrenginių, bet ir yra nesunkiai išnaudojamas. „Pasinaudoję šia spraga įsilaužėliai gali perimti operacinės sistemos valdymą, pasiekti privačią informaciją, atlikti pakeitimus ir t.t.“ – sako „Rapid7“ inžinierius Todas Beardsley.
JAV CERT padalinys paskelbė įspėjimą apie naująją spragą ir paragino sistemų administratorius skubiai įdiegti klaidos ištaisymus.
Tiesa, kai kurie ekspertai pastebi, kad pirmieji pataisymai yra neišbaigti ir tinkamai neapsaugo sistemų.
Ką daryti eiliniams vartotojams? A.Woodwardas pataria tikrinti, ar yra siūlomi programinės įrangos atnaujinimai, ir juos įdiegti – ypač kompiuterių, maršrutizatorių ir kitos tinklo įrangos.
