Shellshock ช่องโหว่ใหม่ที่น่ากลัวและอันตรายกว่า Heartbleed หลายเท่า

เกิดอะไรขึ้น ?

มีการตรวจพบช่องโหว่ใหม่ล่าสุดซึ่งอาจก่อให้เกิดผลกระทบอย่างกว้างขวางและรุนแรง โดยช่องโหว่ดังกล่าวมีชื่อว่า Shellshock (CVE-2014-6271 และ CVE-2014-7169) ถูกพบใน Bash (Bourne Again Shell) ซึ่งเป็น Shell หลักสำหรับ Unix และ Linux (ค่าตั้งต้น) และยังสามารถพบได้ใน Mac OS X, ระบบเซิฟเวอร์ Windows บางระบบ และแม้กระทั่ง Android อีกด้วย ช่องโหว่นี้สามารถทำการรีโมทโค้ดคำสั่งที่ทำงานได้โดยข้ามขั้นตอนการตรวจสอบการยืนยันสิทธิ์ ซึ่งหากมีกลุ่มผู้ไม่หวังดีต้องการสร้างความเสียหาย อาจส่งโค้ดอันตรายเพื่อควบคุมระบบปฏิบัติการ สามารถเข้าถึงข้อมูลสำคัญต่างๆ หรือแฝงตัวซุ่มโจมตีในอนาคตได้อย่างง่ายดาย

NIST ให้คะแนนความรุนแรงของช่องโหว่นี้ 10 เต็ม 10 โดยพิจารณาจากข้อเท็จจริงคือ

1. สามารถแพร่กระจายและกระทบได้กับธุรกิจวงกว้าง
2. มีอำนาจทะลุทะลวงเข้าระบบเพื่อโจมตีได้อย่างง่ายดาย (ความซับซ้อนต่ำ)
3. สามารถหลบข้ามการยืนยันสิทธิ์เมื่อใช้ Bash ผ่านทางสคริปต์ CGI และที่สำคัญ ต่างจากช่องโหว่ Heartbleed คือ มีความแพร่หลายมากกว่า และเข้าถึงได้ง่ายกว่า จึงก่อให้เกิดความเสี่ยงต่อองค์กรในวงกว้างและรุนแรงกว่า

ใครที่ได้รับผลกระทบบ้าง ?

องค์กรหรือผู้ใช้ที่ใช้งาน Bash บนเซิฟเวอร์, PC หรืออุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่นี้ รวมไปถึงเว็บเซิฟเวอร์มากกว่า 500 ล้านเครื่องในโลกอินเทอร์เน็ต นอกจากนี้ยังรวมไปถึงกลุ่มผู้ใช้ที่เข้าถึงเว็บไซต์ หรือบริการที่ทำงานบนเซิฟเวอร์ที่ได้รับผลกระทบของช่องโหว่นี้ ก็มีความเสี่ยงที่ข้อมูลส่วนตัว และข้อมูลสำคัญทางธุรกิจอาจตกไปอยู่ในมือของผู้ไม่ประสงค์ดี (อาชญากรบนโลกไซเบอร์) ได้

ผู้ใช้งานจะแก้ปัญหาอย่างไรได้บ้าง ?

จากที่ชี้แจงไปข้างต้น ช่องโหว่นี้มีความรุนแรงอย่างมาก และควรได้รับการแก้ไขโดยเร็วที่สุดเท่าที่จะเป็นไปได้ แต่ในความเป็นจริงแล้ว องค์กรส่วนใหญ่ยังมีความไม่พร้อมที่จะแก้ไขได้ทันที เนื่องจาก การเร่งสร้างและแพทช์ในจำนวนที่มาก และแตกต่างกัน (เช่น Linux แต่ละรุ่นที่ใช้ Bash ต่างเวอร์ชันกัน) และอีกประเด็นที่สำคัญไม่แพ้กัน คือ จำนวนอุปกรณ์เฉพาะด้านที่ทำงานบนแพลทฟอร์ม Linux อาทิ Router ขนาดเล็กไปจนถึงอุปกรณ์ทางการแพทย์ อุปกรณ์เหล่านี้ไม่สามารถทำการแพทช์ได้โดยง่าย

Trend Micro มีคำแนะนำหลักๆ ให้กับกลุ่มลูกค้าองค์กร ดังต่อไปนี้

1. ทำการประเมินสภาพแวดล้อมของระบบที่ใช้งานอยู่ทั้งหมด แยกคัดกลุ่มอุปกรณ์ที่อาจจะมีช่องโหว่ Bash และทำการแพทช์ระบบโดยเร็วที่สุดเท่าที่จะทำได้
2. การมี IPS เวอร์ชันล่าสุดเป็นสิ่งจำเป็น ช่วยลดความเสี่ยงจนกว่าระบบที่ใช้งานจะได้รับการแพทช์อย่างสมบูรณ์และครบถ้วนทุกอุปกรณ์ ถ้าไม่มี IPS แนะนำให้ลองใช้ Service-base ในช่วงเวลาที่จำเป็น ตามระยะเวลาการวางแผนแพทช์ที่กำหนด ซึ่งในกรณีเร่งด่วนแบบนี้ ถือเป็นทางออกที่คุ้มค่าที่สุด

Trend Micro ให้ความช่วยเหลือเกี่ยวกับเรื่องนี้ได้อย่างไรบ้าง ?

Trend Micro มีข้อแนะนำหลายวิธีในการช่วยให้ลดความเสี่ยงจากช่องโหว่รุนแรงตัวนี้ได้ ดังนี้

สำหรับการปกป้องเซิฟเวอร์ระดับองค์กร

• Deep Security: สามารถแก้ไขจุดอ่อน Virtual Patch บนเซิฟเวอร์ที่มีช่องโหว่นี้ โดยช่วยปกป้องระบบไว้จนกว่าแพทช์ใหม่พร้อมสำหรับการอัพเดท ลูกค้าปัจจุบันของ Trend Micro สามารถเปิดใช้กฎใหม่ (DSRU14-028) ที่พร้อมให้โหลดใช้งานได้จาก Live Update ของ Trend Micro และจะได้รับการปกป้องทันที นอกจากนี้ Trend Micro ยังนำเสนอการทดลองใช้งานฟรีด้วยฟีเจอร์ที่พร้อมสรรพผ่านทาง Deep Security as a Service ซึ่งจะช่วยอุดช่องโหว่แบบ Virtual Patch สำหรับเซิฟเวอร์ที่มีความเสี่ยง พร้อมการปกป้องที่อัพเดทอย่างต่อเนื่อง
• Deep Security for Web Apps: สามารถตรวจจับความเสี่ยงของช่องโหว่บนเว็บแอพพลิเคชันต่างๆ ให้ผู้ดูแลระบบสามารถรู้จุดเสี่ยงบนเว็บแอพพลิเคชันขององค์กร และรับมือได้อย่างมีประสิทธิภาพ (เช่น ใช้ IPS ทำ Virtual Patch)
• Deep Discovery: สามารถตรวจสอบ และค้นพบการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ (ใช้กฎใหม่ #1618) ผ่านเข้ามาในระบบขององค์กร และสามารถแจ้งการบุกรุกระบบได้แบบเรียลไทม์ องค์กรขนาดใหญ่ที่ไม่ต้องการให้เกิดความเสี่ยง และต้องการจัดการความเสียหายล่วงหน้า ขอแนะนำโซลูชันโดดเด่นตัวนี้
• เครื่องมือฟรี: Trend Micro ให้บริการเครื่องมือสำหรับการสแกนช่องโหว่นี้บนเซิฟเวอร์ Linux ฟรี เพื่อให้องค์กรสามารถประเมินความเร่งด่วนของการวางแผนแพ็ทช์ และทำการป้องกันต่อไป โดยสามารถดาวน์โหลดเครื่องมือได้ที่ http://www.trendmicro.co.th/th/security/shellshock-bash-bug-exploit/index.html

สำหรับการปกป้องผู้ใช้งานทั่วไป

• Interscan Web Security as a Service: ใช้ฐานข้อมูลเว็บเพื่อระบุไซต์และเว็บแอพพลิเคชันที่ได้รับผลกระทบจากช่องโหว่ Bash ซึ่งจะช่วยให้ผู้ใช้งานทั่วไปสามารถปิดกั้นการเข้าถึง เว็บไซต์ที่มีความเสี่ยงดังกล่าว และปกป้องผู้ใช้งาน รวมทั้งข้อมูลสำคัญไม่ว่าผู้ใช้จะใช้อุปกรณ์ใด หรืออยู่ที่ใดก็ตาม (นอกจากนี้ ผลิตภัณฑ์ OfficeScan โซลูชันรักษาความปลอดภัยสำหรับอุปกรณ์ลูกข่ายก็สามารถใช้ป้องกันได้ด้วยเช่นกัน) สามารถทดลองใช้งานฟรี 30 วันได้ที่ https://forms.trendmicro.com/product_trials/service/index/apac/144
• Trend Micro AntiVirus for Mac: แนะนำให้ใช้งาน รวมถึงเครื่องมือฟรีต่างๆที่ Trend Micro มีแนะนำให้เพื่อตรวจสอบช่องโหว่บนซอฟต์แวร์ Bash, ตรวจสอบระบบว่ามีความเสี่ยงที่จะถูกโจมตีหรือไม่ รวมทั้งสามารถปิดกั้นการเข้าถึงเว็บไซต์ที่มีความเสี่ยงจากช่องโหว่ดังกล่าว เป็นการช่วยลดความเสี่ยงที่อาจเกิดขึ้นผ่านอุปกรณ์ของผู้ใช้เอง

Bash คืออะไร ?

Bash คือ Shell ของ Unix/Linux ที่ช่วยให้ผู้ใช้งานสามารถผสานรวมคำสั่งบนระบบ Unix และ Linux ได้ ซึ่งโดยปกติแล้ว สามารถเปิดใช้งาน Bash ด้วยการเชื่อมต่อผ่าน SSH หรือ Telnet นอกจากนี้ Bash ยังสามารถทำหน้าที่เป็นตัวแยกวิเคราะห์ สำหรับสคริปต์ CGI บนเว็บเซิฟเวอร์ เช่น Apache ได้ด้วย ทั้งนี้ Bash เริ่มใช้งานมาตั้งแต่ปี 2532 และเป็น Shell ที่ได้รับความนิยมมากที่สุด แม้ว่าจะมี Shell อื่นๆมากมายสำหรับ Unix แต่ละรุ่น แต่ Bash ถือเป็น Shell ตามค่าตั้งต้นสำหรับ Linux และ Mac OS X ที่เป็นระบบปฏิบัติการที่ใช้งานกันอย่างแพร่หลาย และนั่นคือปัจจัยหลักที่ทำให้ความเสี่ยงนี้มีรุนแรงมาก เนื่องจาก Bash พบเห็นได้ทั่วทุกที่ และนับเป็น “หนึ่งใน Utility ที่ได้รับการติดตั้งมากที่สุดบนระบบ Linux”

หากจะให้ยกตัวอย่าง เรียกได้ว่าประมาณครึ่งหนึ่งของเว็บเซิฟเวอร์บนอินเทอร์เน็ตที่ทำงาน Apache ปกติแล้ว จะทำงานบน Linux ซึ่งใช้ Bash เป็น Shell ตามค่าตั้งต้น และปัจจุบันมีการใช้งาน เว็บไซต์มากกว่า 1 พันล้านเว็บไซต์ทั่วโลก ดังนั้นจึงนับเป็นปัญหาที่ส่งผลกระทบในวงกว้างอย่างแท้จริง

สถานการณ์และคำแนะนำที่แตกต่างกันไป มีดังต่อไปนี้

• หากคุณเป็นผู้ใช้ทั่วไป (End-user) ให้มองหาแพทช์สำหรับเครื่อง Mac, โทรศัพท์ Android หรืออุปกรณ์อื่นๆที่คุณอาจใช้งานอยู่
  • Mac OS X มีช่องโหว่ Bash จากการที่เป็น Shell ที่ติดตั้งมาแต่ต้น (Default Command Shell) อย่างไรก็ตาม ในค่าตั้งต้น Shell สามารถเข้าถึงได้โดยการลงทะเบียนเข้าสู่ระบบของผู้ใช้ หมายความว่าผู้ใช้ Mac OS X ไม่เปิดให้ใช้ประโยชน์จากช่องโหว่โดยค่าตั้งต้น ยกเว้นคนที่กำลังล็อกออนอยู่ในระบบ ผู้ใช้ Mac OS X ที่เปิดใช้งานรีโมทล็อกอิน หรือมีการเขียนสคริปต์ของเซิฟเวอร์โดยใช้ Bash จะมีความเสี่ยงจากช่องโหว่ดังกล่าวสูงกว่า ผู้ใช้ Mac OS X ควรทำการแพ็ทช์ เมื่อ Apple ออกอัพเดทมา
  • นอกจากนี้ การใช้ประโยชน์จากโซลูชันชั้นนำ เช่น Trend Micro Free Tool สำหรับ Mac OS X ยังช่วยเตือนผู้ใช้งานเมื่ออยู่บนเว็บไซต์ที่มีช่องโหว่ และป้องกันไม่ให้ผู้ใช้ใส่ข้อมูลที่มีความเสี่ยง
• หากคุณมีผู้ใช้งานที่คุณต้องดูแลรับผิดชอบ (ในฐานะองค์กร) ให้ติดตั้งแพทช์บนอุปกรณ์ที่มีความเสี่ยงทันทีที่พร้อมอัพเดท ขณะเดียวกันคุณอาจใช้ Interscan Web Security as a Service เพื่อปิดกั้นการเข้าถึงไซต์ที่มีความเสี่ยง
• หากคุณกำลังรันระบบ Linux อยู่ ให้ปิดการใช้งาน Bash จนกว่าจะมีแพทช์ออกมาให้อัพเดท ระหว่างนี้ ให้ใช้ระบบ IPS เช่น Deep Security ของ Trend Micro เพื่ออุดช่องโหว่แบบ Virtual Patch
• หากคุณใช้งาน Linux/Apache เว็บเซิฟเวอร์ที่มีการใช้งาน Bash สคริปต์ ควรพิจารณาปรับปรุงสคริปต์ หรือใช้ Shell อื่นแทน Bash จนกว่าจะมีแพทช์ออกมาให้อัพเดทเช่นเดียวกัน
• หากคุณเป็นลูกค้าที่ใช้บริการโฮสต์ ให้ติดต่อผู้ให้บริการเพื่อสอบถามว่าระบบของเขามีความเสี่ยงหรือไม่ และสอบถามเกี่ยวกับแผนการแก้ไขปัญหา

ใครเป็นผู้ตรวจพบ และเผยแพร่รายละเอียดเกี่ยวกับช่องโหว่นี้ ?

มีการเปิดเผยเป็นครั้งแรกในวันที่ 24 กันยายน 2014 โดยบริษัทเทคโนโลยีชั้นนำ เช่น Red Hat, Akamai และอื่นๆ

ทีมงาน TechTalkThai ขอขอบพระคุณ Trend Micro ประเทศไทย สำหรับการอัพเดทข้อมูลช่องโหว่ Shellshock ครั้งนี้