Недавние события, связанные с «большими багами«, такими как Heartbleed и Shellshock, породили глобальный переполох в кибербезопасности, подняв массу вопросов. Оба изъяна относились к программному обеспечению с открытым исходным кодом, но косвенно они могли представлять угрозу и для Windows-инфраструктуры.
Как баг в Linux может повлиять на Windows-инфраструктуру#enterprisesec
Tweet
Многие ИТ-специалисты сходятся в том, что для определения степени воздействия бага в Linux на Windows-инфраструктуру требуются определенные разъяснения. Эксперты наметили несколько сценариев, в которых успешно эксплуатируемый изъян в Linux или некоем дополнительном к нему программном обеспечении может использоваться для нанесения ущерба Windows-инфраструктуре. В зависимости от роли Linux-компьютера в сети последствия могут быть более или менее драматичными.
1. У ворот…
Наихудший сценарий развивается в том случае, если уязвимая Linux-машина является основным шлюзом локальной сети компании.
Падая сама, она роняет всю сеть. Останавливается раздача сетевых адресов, трафик через нее не проходит, поэтому вас отрубает от интернета, и локальная сеть рушится. Не имеет значения, что за система установлена на конечной рабочей станции — Windows, Mac OS X или другая ОС (может, какой-то из десктопных вариантов Linux). Если злоумышленники «прихватизировали» и обрушили шлюз, то всей системе каюк. Однако, куда вероятнее, что охочие до наживы преступники будут использовать эту машину для оборудования плацдарма в корпоративной сети, по возможности долговременного, если учесть, что сетевым устройствам часто перестают уделять внимание, а машины на базе Linux считаются безопасными и устойчивыми к атакам.
Тот же сервер может использоваться и для перенаправления всего трафика на или через некий вредоносный веб-сайт с подсадкой вредоносных программ для Windows на все конечные устройства. Несколько лет назад горстке меняющих настройки DNS троянов удалось натворить дел. В их числе был и пресловутый Zlob. Один из его вариантов был назван DNSChanger, и для его обезвреживания понадобилась спецоперация ФБР «Operation Ghost Click». Оперативники ФБР угнали контрольные серверы DNSChanger, а затем продолжали поддерживать их работу в течение нескольких месяцев, одновременно активно принимая меры по очистке пользовательских ПК, чтобы люди не остались совсем без подключения к интернету.
Был и ряд других попыток задействовать варианты Zlob (часто вполне успешных) для взлома любого обнаруженного маршрутизатора и изменения настроек DNS. После чего маршрут трафика менялся с законных сайтов на подозрительные или вредоносные, а в браузере отображался ворох баннеров взрослой тематики.
Если говорить конкретно о Shellshock, то опасения, что его можно использовать для атак на широкополосные маршрутизаторы, всплыли почти сразу. А поскольку Shellshock предоставляет потенциальную возможность запуска произвольного кода на уязвимой системе, нетрудно представить себе многоступенчатую атаку с целью обрушить всю сеть компании-мишени или просто для слежки за ней.
2. Где файлы дикие растут
Есть и другой сценарий, при котором злоумышленники стремятся взять сервер под свой контроль, чтобы иметь доступ ко всем корпоративным данным, хранящимся на нем и распределяющимся между работниками, при условии передачи информации в незашифрованном виде.
В компаниях широко принято использовать серверы на Linux для нужд совместной работы и обмена файлами между конечными пользовательскими машинами на базе Windows. Злоумышленники могут сделать мишенями для спиэрфишинга некоторых сотрудников компании, подсаживая шпионскую вредоносную программу на его или ее десктоп и беря его под свой контроль. Затем они пытаются выявить файл-сервер на том основании, что он находится в той же сети, что и атакованный десктоп, и, убедившись, что он работает на Linux с неисправленной уязвимостью Bash, эксплуатируют баг, чтобы перехватить контроль и над сервером тоже. После этого уже они могут теоретически что угодно делать с хранящимися там данными — экспортировать, изменять, удалять или даже установить дополнительное вредоносное ПО, которое будет распространяться по всей сети, заражая другие компьютеры. Если данные не шифруются, это всё раз плюнуть.
Захват сервера равносилен занятию господствующей высоты. #enterprisesec
Tweet
Возможность таких «многоступенчатых» атак, в которых злоумышленники используют вредоносные программы для различных операционных систем, была предсказана экспертами «Лаборатории Касперского» много лет назад; даже тогда было ясно, что, несмотря на бытующее мнение, Linux не застрахован от вредоносных атак.
Возникает также вопрос об атаке виртуальной инфраструктуры, в которой большинство виртуальных машин работают на Windows, а гипервизор управляется Linux. Об этом мы поговорим в нашем следующем посте.