۱۳۹۳/۱۱/۶ امنیت اطلاعات

کارشناسان لینوکس شرکت های بزرگ Cisco و Oracle در حال بررسی محصولات خود به منظور یافتن آسیب پذیری Shellshock می باشند. این آسیب پذیری به هکر ها اجازه می دهد که با نفوذ به Bash و یا همان ترمینال لینوکس دستورات دلخواه خود را اعمال نموده و سرویس های خاص و حیاتی را در کنترل خود بگیرند.

این آسیب پذیری در 71 محصول سیسکو شناسایی شده است و این شرکت نیز این موضوع را تأیید کرده است. البته آسیب پذیری shellshock بر روی سیستم عامل لینوکس نیز سر و صدای زیادی داشته است که باعث می شد نفوذ به Bash لینوکس برای مهاجمان راحت شود. در حقیقت shellshock یک نوع از بدافزار های Backdoor است که باعث می شود Arbitrary Code Execution بر روی سیستم قربانی اتفاق بیفتد که همان دستورات مخرب می باشد. یکی از مهمترین روشهای مورد استفاده مهاجمان سایبری برای این نوع Attack، آلوده کردن ایمیل های کاربران می باشد. ابتدا Attacker یا هکر  یک کد مخرب شل-شاک یا  Malicious Shellshock Code که حاوی Payload مخرب Shellshock می باشد در داخل ایمیلی که می خواهد به کاربران شبکه مورد نظر ارسال کند embed میکند. این کد مخرب در داخل قسمت های Subject ، To ، From و CC توسط محاجم embed می شود و سپس محاجم ایمیل را برای سرور SMTP شبکه مورد نظر ارسال می کند و بعد از اجرا شدن این کد مخرب ، محاجم می تواند به شبکه و سیستم ها دسترسی پیدا کند.

این آسیب پذیری بر روی سرور های میل qmail ، exim و postfix موجود می باشد.

سپس SMTP Server آلوده به URL هایی با فرمت زیر متصل میشود و IRC Bot ها که مجموعه ای از Script ها هستند را دانلود می کنند. سپس SMTP Server با استفاده از پورت های 6667 ، 3232 و 9999 به IRC Server مربوطه متصل می شود و Attacker با استفاده از همان IRC Bot های دانلود شده میتواند کار هایی از قبیل ارسال ایمیل ، حملات DDOS ، اسکن کردن پورت ها و دستورات Unix-Based بر شبکه وسیستم ها و سرور های قربانی انجام دهد. کشور های تایوان ، آلمان ، آمریکا و کانادا کشورهایی هستند که بیشترین حملات از این نوع را دارند.

 منبع: وبلاگ امنیتی ایدکو