Điểm yếu bảo mật Bash đang được cường điệu quá đà

Trong những ngày gần đây, cụm từ về điểm yếu bảo mật Shellshock của hệ điều hành Unix, Linux và OS X đã được cảnh báo với mức độ cao nhất và được một số chuyên gia bảo mật đánh giá mức độ nguy hiểm hơn cả Heartbleed. Cũng tương tự như một số điểm yếu bảo mật được phát hiện trước đây, những điểm yếu bảo mật thường được cường điệu hơn mức nguy hại của nó. Một số điểm chú ý về Shellshock và những ảnh hưởng của nó.

1. Shellshock là lỗ hổng bảo mật của phần mềm được dùng phổ biến trong các hệ điều hành Linux

Bash là phần mềm kịch bản được chạy trên rất nhiều hệ điều hành Linux (tương tự như các tệp có đuôi bat được thực thi trên giao diện command của Windows) đã có lỗi khi cho phép thực thi các lệnh bổ sung khi thiết lập các biến môi trường.

Trong thực tế, Bash được xây dựng để thực hiện cho màn hình điều khiển (console) để chạy ứng dụng, các nghiên cứu chỉ ra lệnh kịch bản có thể chạy thông qua yêu cầu HTTP thông thường nếu máy chủ web cho phép chạy các ứng dụng CGI. CGI là một trong các ứng dụng mở rộng của các website nhưng mặc định khi cài đặt đã được đóng.

2. Nhưng lỗ hổng bảo mật không tự động khai thác

Điểm yếu bảo mật Shellshock dường như đang dần được cường điệu quá mức; tổ chức NIST nâng mức nguy hiểm của điểm yếu bảo mật này lên mức cao nhất là 10 trên 10 và có mã số CVE-2014-6271. Chuyên gia bảo mật của Microsoft cho rằng điểm yếu bảo mật của Bash cho phép thay đổi nội dung một trang web một cách đơn giản nhất mà chúng tôi từng thấy; nhưng chuyên gia này cũng không đề cập cụ thể cách thực hiện để phát tán mã độc như thế nào.

Trong thực tế, các hệ thống máy chủ không phải lúc nào cũng cho phép thực thi các lệnh từ xa. Trong cảnh báo của Graham, người phát hiện ra điểm yếu của Bash, cho rằng điểm yếu này xuất hiện nếu thực thi đủ các bước: kẻ xấu thiết lập được các tham số trong biến môi trường và sau đó thực thi các kịch bản Bash.

Tình huống mà Graham giả định không phổ biến và cũng không tự động. Chuyên gia bảo mật của hãng Rapid7 cho biết các trang web hiện đại hầu hết không bị lỗi này; điểm yếu này có thể ảnh hưởng một số ứng dụng và một số hệ thống nhất định nhưng để khai thác nó từ xa thì không phải là phổ biến.

Trường hợp điểm yếu Shellshock bị khai thác được đề cập xuất hiện ở hai trường hợp. Trường hợp thứ nhất là một số máy chủ web cho phép chạy kịch bản CGI; các kịch bản CGI sẽ lấy các tham số từ yêu cầu HTTP để chạy các ứng dụng PHP và từ đó thực thi các lệnh Bash. Trường hợp thứ hai là trong các máy chủ SSH; tuy nhiên, để khai thác được điểm yếu Bash thì kẻ xấu phải đăng nhập thành công vào máy chủ.

3. So sánh với Heartbleed để gây chú ý nhưng có thể tạo ra hiểu nhầm cho cộng đồng

Đầu tiên, có vẻ Shellshock đang diễn biến rất xấu. Chuyên gia bảo mật của tập đoàn Moguldom Media nhấn mạnh, trong khi Heartbleed chỉ ảnh hưởng đến các máy chủ có ứng dụng OpenSSL thì Shellshock ảnh hưởng đến hầu hết các máy chủ sử dụng hệ điều hành Unix, Linux và OS X và do vậy mức độ ảnh hưởng sẽ vô cùng to lớn.

Trong khi đó, chuyên gia bảo mật của hãng Rapid7 lại không cho rằng Shellshock có thể xấu do mức độ phổ biến của hệ điều hành Linux. Thứ nhất, để thực hiện tấn công Shellshock là khó hơn nhiều so với Heartbleed và Heartbleed là mã hóa dùng phổ biến trong các giao dịch thương mại. Tuy nhiên, các thiết bị nhúng hệ điều hành Linux dường như có vấn đề, khó phát hiện có lỗi này và nếu có thì rất khó để sửa đổi.

Ví dụ: Thiết bị sử dụng Busybox, một thiết bị nhúng hệ điều hành Unix có sử dụng ngôn ngữ kịch bản thì dường như không bị ảnh hưởng vì thiết bị này không sử dụng phiên bản nào của Bash.

Các chuyên gia đã thực hiện khảo sát khoảng 50 thiết bị của nhiều hãng khác nhau, bao gồm cả thiết bị gia dụng có nhúng hệ điều hành được cho là bị ảnh hưởng bởi Shellshock thì không thấy sử dụng các phiên bản của Bash. Các trang web trong thực tế gần như không thể khai thác điểm yếu bảo mật Shellshock do hầu hết được cấu hình và đặt các chế độ bảo mật cần thiết.

4. Tất cả điểm yếu bảo mật đều cần khắc phục

Cũng như các điểm yếu bảo mật khác sau khi được phát hiện, không chỉ riêng điểm yếu Shellshock, quản trị các hệ thống tin học được khuyến cáo cần kiểm tra và nâng cấp phiên bản mới. Việc nâng cấp các bản vá lỗi còn được thực hiện cho cả các hệ điều hành thông dụng như các phiên bản Windows, Mac OS hay các máy điện thoại thông minh.

Hơn nữa, cập nhật bản nâng cấp Bash lên phiên bản mới cho các hệ thống Linux cũng tương đối đơn giản.

Các chuyên gia khuyến cáo không nên cường điệu quá mức cần thiết các điểm yếu mà thực tế không phải là như vậy; hơn nữa, đối với các điểm yếu bảo mật được các tổ chức, chuyên gia cảnh báo thì cần có quan tâm kịp thời và xử lý ngay nếu phát hiện điểm yếu này có thể bị lợi dụng hoặc cập nhật các bản nâng cấp theo khuyến nghị.