ช่องโหว่ Shellshock กระทบใครแล้วทำไมมันร้ายกว่า Heartbleed

เทรนด์ไมโคร เผย รายงานช่องโหว่ Shellshock ล่าสุด ที่ถูกพบใน Bash ที่เป็น Shell หลักสำหรับ Unix และ Linux ที่ผู้ไม่หวังดีสามารถใช้เป็นช่องทางเข้ามาควบคุมคอมพิวเตอร์ หรือเซิร์ฟเวอร์ ได้ แม้จะร้ายแรง แต่ป้องกันได้ก่อนภัยถึงตัว... เมื่อ ในวันที่ 24 กันยายน 2557 บริษัท เทคโนโลยีชั้นนำ เช่น Red Hat, Akamai และอื่นๆ ประกาศว่า มีการตรวจพบช่องโหว่ใหม่ล่าสุด ที่จะก่อให้เกิดผลกระทบอย่างกว้างขวาง และเรียกได้ว่า รุนแรง โดยช่องโหว่ดังกล่าวมีชื่อว่า "เชลล์ช็อก" Shellshock (CVE-2014-6271 และ CVE-2014-7169) ถูกพบใน "บาช" Bash (Bourne Again Shell) ที่เป็น Shell หลักสำหรับ ระบบปฏิบัติการยูนิกซ์ และลีนุกซ์ (ค่าตั้งต้น) และยังสามารถพบได้ใน Mac OS X, ระบบเซิร์ฟเวอร์ Windows บางระบบ และแม้กระทั่ง Android อีกด้วย ช่องโหว่นี้สามารถทำการรีโมทโค้ดคำสั่งที่ทำงานได้โดยข้ามขั้นตอนการตรวจสอบ การยืนยันสิทธิ์ ซึ่งหากมีกลุ่มผู้ไม่หวังดีต้องการสร้างความเสียหาย อาจส่งโค้ดอันตรายเพื่อควบคุมระบบปฏิบัติการ สามารถเข้าถึงข้อมูลลับต่างๆ หรือแฝงตัวซุ่มโจมตีในอนาคตได้อย่างง่ายดาย NIST ให้คะแนนความรุนแรงของช่องโหว่นี้ในลำดับที่ 10 (จากคะแนนเต็ม 10 คะแนน) โดยพิจารณาจากข้อเท็จจริงคือ 1) สามารถแพร่กระจายและกระทบได้กับธุรกิจวงกว้าง 2) มีอำนาจทะลุทะลวงเข้าระบบ เพื่อโจมตีได้อย่างง่ายดาย (ความซับซ้อนต่ำ) และ 3) สามารถหลบข้ามการยืนยันสิทธิ์ เมื่อใช้ Bash ผ่านทางสคริปต์ CGI และที่สำคัญต่างจากช่องโหว่ Heartbleed คือ สามารถแพร่หลายได้มากกว่า และเข้าถึงได้ง่ายกว่า จึงก่อให้เกิดความเสี่ยงต่อองค์กรในวงกว้างและรุนแรงได้มากกว่า ใครที่ได้รับผลกระทบบ้าง? องค์กร หรือผู้ใช้ที่ใช้งาน Bash บนเซิร์ฟเวอร์, เดสก์ท็อป หรืออุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่นี้ รวมไปถึงเว็บเซิร์ฟเวอร์มากกว่า 500 ล้านเครื่องในโลกอินเทอร์เน็ตปัจจุบันนี้ นอกจากนี้ ยังรวมไปถึงกลุ่มผู้ใช้ที่เข้าถึงเว็บไซต์ หรือบริการที่ทำงานบนเซิร์ฟเวอร์ที่ได้รับผลกระทบของช่องโหว่นี้ ก็มีความเสี่ยงที่ข้อมูลส่วนตัว และข้อมูลธุรกิจสำคัญ อาจตกไปอยู่ในมือของผู้ไม่ประสงค์ดี (อาชญากรไซเบอร์)

BASH คืออะไร? Bash คือ Shell ของ Unix/Linux ที่ช่วยให้คุณผสานรวมคำสั่งบนระบบ Unix และ Linux ซึ่งโดยปกติแล้ว เปิดใช้งานด้วยการเชื่อมต่อผ่าน SSH หรือ Telnet นอกจากนี้ Bash ยังสามารถทำหน้าที่เป็นตัวแยกวิเคราะห์ สำหรับสคริปต์ CGI บนเว็บเซิร์ฟเวอร์ เช่น Apache ทั้งนี้ Bash เริ่มใช้งานมาตั้งแต่ปี 2532 และเป็น Shell ที่ได้รับความนิยมมากที่สุด แม้ว่าจะมี Shell อื่นๆ มากมาย สำหรับ Unix แต่ละรุ่น แต่ Bash ถือเป็น Shell ตามค่าตั้งต้นสำหรับ Linux และ Mac OS X ซึ่งเป็นระบบปฏิบัติการที่ได้รับการใช้งานอย่างแพร่หลาย และนั่นคือ ปัจจัยหลักที่ทำให้ความเสี่ยงนี้มีความสำคัญอย่างมาก เพราะ Bash พบเห็นได้ทั่วทุกที่ และนับเป็น “หนึ่งในยูทิลิตี้ที่ได้รับการติดตั้งมากที่สุดบนระบบ Linux” หากจะ ให้ยกตัวอย่าง เรียกได้ว่าประมาณครึ่งหนึ่งของเว็บเซิร์ฟเวอร์บนอินเทอร์เน็ต ที่ทำงาน Apache ปกติแล้ว จะทำงานบน Linux ซึ่งใช้ Bash เป็น Shell ตามค่าตั้งต้นและปัจจุบันมีการใช้งาน เว็บไซต์มากกว่า 1 พันเว็บไซต์ ทั่วโลก ดังนั้น จึงนับเป็นปัญหาที่ส่งผลกระทบในวงกว้างอย่างแท้จริง! ผู้ใช้งานจะแก้ปัญหาอย่างไรได้บ้าง? จาก ที่ชี้แจงไปข้างต้น ช่องโหว่นี้มีความรุนแรงอย่างมาก และควรได้รับการแก้ไขโดยเร็วที่สุดเท่าที่จะเป็นไปได้ แต่ในความเป็นจริงลูกค้าองค์กร ยังมีความไม่พร้อมที่จะแก้ไขได้ทันที เนื่องจากการเร่งสร้างและทำการแพตช์ ในจำนวนที่มาก และแตกต่าง (เช่น Linux แต่ละรุ่นที่ใช้ Bash ที่ใช้แพตช์ที่เฉพาะเจาะจง) และอีกประเด็น ที่สำคัญไม่แพ้กันคือ จำนวนอุปกรณ์เฉพาะด้านที่ทำงานบนแพลตฟอร์ม Linux อาทิ เราเตอร์ตัวเล็กๆ ไปจนกระทั่งอุปกรณ์ทางการแพทย์ อุปกรณ์เหล่านี้ไม่สามารถติดตั้งแพตช์ได้โดยง่าย

คำแนะนำหลักๆ ให้กับกลุ่มองค์กร ดังต่อไปนี้ 1.ทำการประเมินสภาพแวดล้อมของคุณทั้งหมด แยกคัดกลุ่มเสี่ยงอุปกรณ์ที่อาจมีช่องโหว่ Bash ทำการแพตช์ระบบโดยเร็วที่สุดเท่าที่จะเป็นไปได้ 2.การ มี IPS เวอร์ชั่นล่าสุด เป็นเรื่องจำเป็น ลดความเสี่ยงจนกว่าคุณจะทำการแพตช์ได้อย่างสมบูรณ์ และครบถ้วนทุกอุปกรณ์ ถ้าไม่มี IPS แนะนำให้ลองใช้ในรูปแบบบริการ (service-base) ในช่วงเวลาที่คุณจำเป็น ตามระยะเวลาการวางแผนแพตช์ที่กำหนด ซึ่งในกรณีเร่งด่วนแบบนี้ ถือเป็นทางออกที่คุ้มค่าที่สุด

สำหรับการปกป้อง ผู้ใช้งาน ·Interscan Web Security as a Service ใช้ฐานข้อมูลเว็บเพื่อระบุไซต์ และเว็บแอพพลิเคชั่น ที่เทรนด์ไมโคร ระบุว่าได้รับผลกระทบจากช่องโหว่ Bash ซึ่งจะช่วยให้คุณสามารถปิดกั้นการเข้าถึง เว็บไซต์เสี่ยงดังกล่าว และปกป้องผู้ใช้งาน และข้อมูลสำคัญ ข้อมูลความลับ ไม่ว่าผู้ใช้จะใช้อุปกรณ์ใด หรืออยู่ที่ใดก็ตาม (นอกจากนี้ ยังมีผลิตภัณฑ์ OfficeScan โซลูชั่นรักษาความปลอดภัยสำหรับอุปกรณ์ ลูกข่ายสามารถป้องกันได้เช่นกัน) สามารถทดลองใช้งานฟรี 30 วัน สำหรับ InterScan Web Security as a Service ได้ที่ https://forms.trendmicro.com/product_trials/service/index/us/144 ·Trend Micro AntiVirus for Mac แนะนำให้ใช้งาน รวมถึงทูลฟรีต่างๆ ที่เรามีแนะนำให้ เพื่อตรวจสอบว่ามีช่องโหว่ Bash ไหม ระบบมีความเสี่ยงที่จะถูกโจมตีหรือไม่ ได้ทำการปิดกั้นการเข้าถึง เว็บไซต์เสี่ยงที่ได้รับผลกระทบจากช่องโหว่ Bash หรือยัง ลดความเสี่ยงที่อาจเกิดขึ้นผ่านเครื่องของท่าน สถานการณ์ต่างๆ และคำแนะนำที่แตกต่างกันไป มีดังต่อไปนี้

หากคุณเป็นผู้ใช้ (End-user) ให้มองหาแพตช์สำหรับเครื่อง Mac, โทรศัพท์ Android หรืออุปกรณ์อื่นๆ ที่คุณอาจใช้งานอยู่ Mac OSX มีช่องโหว่ BASH ที่ติดตั้งมา และเป็น Shell ที่มีค่าคำสั่งตั้งต้น (Default Command Shell) อย่างไรก็ตาม ในค่าตั้งต้น Shell สามารถเข้าถึงได้โดยการเข้าระบบ (log on) ของผู้ใช้ นั่นหมายความว่า ผู้ใช้ Apple Mac OSX ไม่เปิดให้ใช้ประโยชน์จากช่องโหว่โดยค่าตั้งต้น ยกเว้นคนที่ล็อกออนเข้าสู่ระบบ ผู้ใช้ Mac OS X ที่เปิดใช้งานรีโมทล็อกอิน หรือมีการเขียนสคริปต์ของเซิร์ฟเวอร์ โดยใช้ BASH จะมีโอกาสใช้ประโยชน์จากช่องโหว่ระยะไกล ผู้ใช้ Mac OSX ควรทำการแพ็ตช์ เมื่อ Apple ออกแพ็ตช์มาเพื่อได้รับการปกป้องอย่างเต็มที่ นอกจาก นี้ การใช้ประโยชน์จากโซลูชั่นชั้นนำ เช่น Trend Micro Free Tool สำหรับเครื่อง Mac ยังสามารถเตือนคุณเมื่อคุณอยู่บนเว็บไซต์ที่มีช่องโหว่ และป้องกันไม่ให้คุณใส่ข้อมูล ที่มีความเสี่ยง ·หากคุณมีผู้ใช้ที่ คุณมีหน้าที่ดูแลรับผิดชอบ (ในฐานะองค์กร) ให้ติดตั้งแพตช์ทันทีที่พร้อมใช้งาน สำหรับอุปกรณ์ที่มีความเสี่ยง ขณะเดียวกัน คุณอาจใช้ Interscan Web Security as a Service เพื่อปิดกั้นการเข้าถึงเว็บไซต์ที่มีความเสี่ยง (โดยใช้ประโยชน์จากบริการฐานข้อมูลเว็บ หรือ Web Reputation ของเทรนด์ไมโคร)

·หากคุณกำลังรันระบบ LINUX ให้ปิดใช้งาน BASH จนกว่าจะมีแพตช์ออกมาและจนกว่าคุณจะติดตั้งแพตช์ ระหว่างนั้นให้ใช้ระบบป้องกันการบุกรุก (IPS) เช่น Deep Security เพื่อแก้ไขจุดอ่อนในแบบเสมือนจริง ·หากคุณใช้งาน LINUX/APACHE เว็บเซิฟเวอร์ ซึ่งมีการใช้งาน BASH สคริป ควรพิจารณาปรับปรุงสคริปให้ไปใช้เครื่องมืออื่นแทน BASH จนกว่าจะมีแพตช์ออกมา ระหว่างนั้นให้ใช้ระบบป้องกันการบุกรุก (IPS) เช่น Deep Security เพื่อแก้ไขจุดอ่อนในแบบเสมือนจริง ·หากคุณเป็นลูกค้าที่ใช้บริการโฮสต์ ให้ติดต่อผู้ให้บริการเพื่อสอบถามว่า ระบบของเขามีความเสี่ยงหรือไม่ และสอบถามเกี่ยวกับแผนการแก้ไขปัญหา หากต้องการแก้ไขจุดอ่อนอย่างรวดเร็วสำหรับเซิร์ฟเวอร์และแอพพลิเคชั่นที่คุณ รันบนบริการดังกล่าว ให้ใช้ IPS เช่น Deep Security เพื่อแก้ไขจุดอ่อนในแบบเสมือนจริง