24 сентября исследователь безопасности раскрыл серьезную уязвимость в Bash (Bourne-Again Shell), которая влияет на многие Linux и Unix системы (CVE-2014-6271 / CVE-2014-7169). Уязвимость стала известеной как Shellshock и "мега уязвимость", и возможно стала самой опасной из ранее существовавших.
Вскоре после открытия уязвимости, Web Application Firewall от Incapsula заблокировал большое количество Shellshock атак, направленных на защищаемые сервисом домены.
Некоторые из атак (менее 6%) оказались легальными средствами сканирования, которые использовали встревоженные пользователи интернета. Тем не менее, оставшаяся часть была реально опасной – атаки совершались с частотой 1 970 попыток в час.
Но ни одна из них не смогла обойти средства защиты Incapsula. Тем не менее, само упорство этих попыток продемонстрировало масштаб этой угрозы нулевого дня. Рассматривая данные по защищаемым Incapsula доменам, не возможно не задаться вопросом – как же пришлось тем, у кого не было защиты?
Сегодня Incapsula выпустила отчет с обновленными данными по Shellshock.
Shellshock сегодня
Любой исследователь безопасности скажет, что атаки нулевого дня никогда “не умирают молодыми”. Причина этого проста. Даже выпущенные быстро, официальные патчи полезны только для ограничения распространения уязвимости. Оставленные без внимания ресурсы продолжают быть уязвимыми.
Это могут быть некоторые старые WordPress шаблоны, которые используют старую версию TimThumb или, в случае с Shellshock, домашний роутер с устаревшей прошивкой на базе Linux. Так или иначе, всегда есть отстающие, которых и атакуют злоумышленники.
Shellshock
Сегодня, по прошествии более чем 40 дней после официального отрытия Shellshock, уязвимость продолжает активно эксплуатироваться.
Только за последние 14 дней Incapsula зафиксировала более 630 000 попыток эксплуатации Shellshock с 15 000 атакующих IP-адресов. Несколько из этих попыток оказались легитимными сканерами безопасности, но от 95% IP-адресов исходили вредоносные запросы.
Благодаря сравнению недавно полученных данных с предыдущими патернами атак, нарисовалась интересная картина:
| Daily Attack Rate | Offending | IPs |
| Zero-Day | 1,700+ | 400+ |
| Four Days Later | 1,900+ | 890+ |
| Thirty Days Later | 1,800+ | 15,000+ |
Сразу выделяется значительное увеличение (на более чем 1 600%) числа атакующих IP-адресов за последний месяц. Так же обратите внимание, что средняя скорость атаки осталась почти такой же.
Эти цифры означают одно - Shellshock теперь официально стал мейнстримом. Ранние данные предполагали несколько десятков хакеров, атакующих на очень высокой скорости и с помощью нескольких сотен захваченных устройств.
Текущее количество атакующих IP-адресов указывает на гораздо более широкую группу преступников, которые в настоящее время систематически сканируют на наличие уязвимостей Linux и Unix устройства.
Такое развитие ситуации следует воспринимать гораздо более тревожным образом, чем всю шумиху вокруг Shellshock, изначально сформированную в хакерском сообществе.
В частности, сложившаяся ситуация сигнализирует об опасности для всех тех, кто до сих пор работает с потенциально уязвимыми устройствами.
Shellshock остается крайне опасной уязвимостью, которая несет прямой ущерб незащищенным устройствам, в дополнение к потоку сопутствующих потерь (например, как в результате следующего за ботнет-атаками DDoS).
Мы советуем всем операторам сетей, домашним пользователям и владельцам сайтов оставаться бдительными. Shellshock остается, и если вы еще не обновили свой роутер, то идите и сделайте это.
