เมื่อไม่กี่วันก่อนนี้ หลายคนคงเริ่มได้ยินช่องโหว่ของ Bash ที่เรียกว่า Shellshock (CVE-2014-6271) กันบ้างแล้ว ซึ่งถือว่าเป็นช่องโหว่ที่มีความรุนแรงระดับสูงมากเนื่องจากผู้ไม่ประสงค์ดีสามารถรันคำสั่งแบบ Remote ที่เครื่องของเป้าหมายที่เป็นระบบ Unix-based ได้ทันที ทีมงาน TechTalkThai จึงรวบรวมข้อมูลเกี่ยวกับช่องโหว่ดังกล่าว และกระแสตอบรับจากผลิตภัณฑ์รักษาความปลอดภัยมาไว้ ณ ที่นี้ครับ
Shellshock คืออะไร
Shellshock เป็นช่องโหว่ที่ถูกค้นพบบนซอฟต์แวร์ Bash หนึ่งในซอฟต์แวร์ประเภท Shell ที่ใช้รันคำสั่งผ่าน Command Line บนระบบ Linux หรือ Unix-based ที่ได้รับความนิยมสูงสุด ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถรันคำสั่งแบบ Remote บนเครื่องเป้าหมายได้ทันที
ใครบ้างที่ได้รับผลกระทบ
ระบบปฏิบัติการที่ใช้ซอฟต์แวร์ Bash เช่น Linux, FreeBSD, Ubuntu, Mac OS X และมีความเป็นไปได้ที่ iOS และ Android จะได้รับผลกระทบด้วยเช่นกัน
Bash เวอร์ชันที่ได้รับผลกระทบ คือ 3.0.17, 3.1.18, 3.2.52, 4.1.12, 4.2.48, 4.3.25 หรือต่ำกว่า
สามารถทดสอบว่า Bash ของตนมีช่องโหว่ได้ด้วยการทดลองรันคำสั่ง
env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
ถ้าได้ผลลัพธ์ดังภาพด้านล่าง แสดงว่า Bash มีช่องโหว่
หรือตรวจสอบช่องโหว่ Shellshock ได้ผ่านทาง https://shellshock.detectify.com/
ผลกระทบที่เกิดขึ้น
ผู้ไม่ประสงค์ดีหรือแฮ็คเกอร์สามารถรันคำสั่งแบบ Remote มาที่เครื่องของเป้าหมายได้ทันที หรือที่เรียกว่า Remote Code Execution
การอุดช่องโหว่และกระแสตอบรับจาก Vendors
1. อัพเดทซอฟต์แวร์ Bash ให้เป็นเวอร์ชันล่าสุดที่อุดช่องโหว่แล้ว
- Bash-3.0 Official Patch 18
- Bash-3.1 Official Patch 19
- Bash-3.2 Official Patch 53
- Bash-4.0 Official Patch 40
- Bash-4.1 Official Patch 13
- Bash-4.2 Official Patch 49
2. สำหรับระบบปฏิบัติการ Unix-based สามารถดูรายละเอียดได้ ดังนี้
- Debian: https://www.debian.org/security/2014/dsa-3035
- Ubuntu: http://www.ubuntu.com/usn/usn-2364-1/
- Red Hat: https://access.redhat.com/security/cve/CVE-2014-6271
- CentOS: http://lists.centos.org/pipermail/centos-announce/2014-September/020585.html
- Novell: http://support.novell.com/security/cve/CVE-2014-6271.html
3. สำหรับผลิตภัณฑ์รักษาความปลอดภัย สามารถดูรายละเอียดได้ ดังนี้
Fortinet
- FortiOS ไม่ได้รับผลกระทบ เนื่องจากไม่ได้ใช้ Bash shell
- สำหรับผู้ที่ใช้งาน FortiGate สามารถดาวน์โหลด IPS Update 5.552 เพื่อป้องกันช่องโหว่ในระบบ
HP TippingPoint
- ได้ออกฟิลเตอร์สำหรับป้องกันช่องโหว่ดังกล่าวแล้ว ดูรายละเอียดได้ที่นี่
Imperva
- SecureSphere WAF ไม่ได้รับผลกระทบต่อช่องโหว่ดังกล่าว
- Imperva ADC พร้อมให้อัพเดทสำหรับป้องกันช่องโหว่ดังกล่าวแล้ว ดูรายละเอียดได้ที่นี่
Palo Alto
- PAN-OS / Panorama ได้รับผลกระทบดังกล่าว แต่ผู้ไม่ประสงค์ดีต้องพิสูจน์ตัวตนผ่าน SSH ก่อนจึงจะรันคำสั่งได้ ทาง Palo Alto จึงตัดสินใจที่จะอุดช่องโหว่ในแพทช์ถัดไป (อ่านรายละเอียดได้ที่นี่)
- ออก IPS Signature ID: 36729 เพื่อป้องกันช่องโหว่ในระบบเรียบร้อย
Trend Micro
- สำหรับผู้ที่ใช้ Deep Discovery สามารถอัพเดท Rule และสั่งตรวจสอบช่องโหว่ ShellShock ได้ทันที (อ่านรายละเอียดได้ที่นี่)
ผลิตภัณฑ์รักษาความปลอดภัยอื่นๆ กรุณาสอบถาม Vendor หรือตัวแทนจำหน่าย