Security Center – Shellshock

28 Eylül 2014 bunyamin Comments Off

shellshockVulnDashboard

Mac OSX’in de içinde bulunduğu birçok Linux ve Unix dağıtımında, varsayılan temel komut satırı kabuğu olan “bash”(Bourne Again SHell) in 4.3 versiyonunun kritik bir zafiyet (Shellshock) barındırdığı tespit edilmiştir. Özellikle uzaktan istismar edilebilecek yapıya sahip sistemlerin (web sunucuları, ssh sunucuları vb.) etkilendiği görülmektedir. Bu açıklık, bash kabuğunun kullanıldığı sistemlerin yaygınlığı göz önüne alındığında, geçmiş günlerde büyük yankı uyandıran “Heartbleed” açığından çok daha kritik ve istismar edilmesi çok daha kolay olan bir zafiyet olarak gözükmektedir.

Tenable Security Center’da bulunan Shellshock kontrol paneli, birçok bileşeni aracılığı ile bir organizasyonda Shellshock zafiyetine açık sistemler bulunup bulunmadığının tespitinde yardımcı olmaktadır. Bu bileşenler, Tenable’ın Shellshock zafiyetini tespit etmek için yayınladığı birçok plugin/eklenti den (CVE-2014-6271) uyarılar göstermektedir.

Bu kontrol paneli ve bileşenlerine erişmek için, SecurityCenter’in panel yönetimi, raporlar ve varlık yönetimi alanları kullanılabilir. Kontrol paneli, “Security Industry Trends” seçilip ardından “Shellshock, Threats” etiketleri eklenerek SecurityCenter ön paneline kolayca eklenebilir. Bu kontrol paneli için gereksinimler aşağıdakilerden oluşmaktadır:

– SecurityCenter 4.8.1
– Nessus 5.2.7
– LCE 4.4.0
– PVS 4.0.2

Tümünün kullanımı zorunlu değildir fakat minimumda Security Center ve Nessus araçlarına ihtiyaç vardır.

Tenable SecurityCenter Continuous View (SC CV), sürekli ağ izleme platformudur. SC CV, Nessus yardımı ile aktif zafiyet belirlemeyi, Tenable Passive Vulnerability Scanner(PVS) ile pasif zafiyet belirlemeyi ve aynı zamanda da Tenable Log Correlation Engine(LCE) ile log korelasyonunu kapsamaktadır. Bir kurum SC CV’yi kullanarak, ağını en kapsamlı ve entegre şekilde görüntüleyebilir, aynı zamanda Shellshock gibi kritik zafiyetlere anında müdahale edebilir.

Kontrol paneli üzerindeki bazı bileşenler aşağıdaki gibidir:

Shellshock – Affected Subnets: Bu bileşen, C sınıfı alt ağlarında bulunan sistemlerdeki Shellshock zafiyetlerini gösterir. “Total” kolonu her alt ağdaki zafiyetli sistemlerin sayısını gösterir. Bu sistemler üzerinde daha detaylı araştırma ve iyileştirme işlemleri yapılması doğru bir yaklaşım olacaktır.

Shellshock – Key Event Indicators of Compromise: Bu bileşen ise, Shellshock zafiyetinin istismar edildiğinin işareti olabilecek olayların sayısını göstermektedir. Her olay için, sistemlerin ve olayların sayıları gösterilmektedir. Eğer bu bölümde, sıfırdan farklı değerler görülüyorsa, Shellshock zafiyeti için sistemler daha derin araştırılmalıdır. “Linux Segfault in Bash” bölümü, bir linux işletim sisteminde segmentaion fault olduğunu göstermektedir. “User Command with ParentID” bölümü ise, root olmayan bir kullanıcının işlettiği komutları belirtmektedir. “New Command” bölümü de, daha önceden sistemde görülmeyen bir komutun çalıştırıldığının tespit edildiğini göstermektedir.

Shellshock – Vulnerable Systems by Operating System: Bu bileşen ile, sistemdeki tüm *nix (unix, linux vb.) sistemler gösterilmektedir. Mor işaretli olan işletim sistemleri, sistem üzerinde bulunan ve Shellshock zafiyetine açık sistemleri işaret etmektedir.

Shellshock – Vulnerabilities by Type:  Bu bileşen, ağda bulunan sistemlerden kabuk tabanlı zafiyetlere sahip olanları göstermektedir. Birinci satırda tespit edilen genel kabuk zafiyetleri, ikinci satırda tespit edilen Shellshock tabanlı zafiyetler ve üçünde satırda da genel kabuk zafiyetlerinden Shellshock zafiyeti olanların yüzdesi görüntülenmektedir. Birinci kolonda sistemlerin sayısını ve takip eden dört kolonda; aktif olarak, pasif olarak, olaylar ve uyumluluk kontrolleri aracılığı ile tespit edilen zafiyetler gösterilmektedir.

Security Center ürünü hakkında daha detaylı bilgi alabilmek için tenable.com adresini ziyaret edebilir ya da [email protected] mail adresi üzerinden bize ulaşabilirsiniz.