Библиотека Интернет Индустрии I2R.ru

Создание эксплойта для обнаруженных недавно ошибок в языке сценариев PHP — лишь дело времени, предупреждают эксперты. Учитывая, что уязвимы миллионы веб-сайтов, он может стать новым Code Red.

Лазейки находятся в модулях ПО веб-серверов, использующих язык сценариев Personal Homepage (PHP). Он позволяет создавать динамические веб-страницы и широко распространен среди сайтов, построенных на базе ПО с открытым исходным кодом. Дэвид Диттрих (David Dittrich), старший инженер по информационной безопасности Вашингтонского университета, уверяет, что, хотя технически воспользоваться этими лазейками нелегко, в интернете полно хакерских групп, способных на это. «Появление червя всего лишь дело времени», — заявил Диттрих, добавив, что системным администраторам, веб-сайты которых работают на уязвимых версиях PHP, следует как можно быстрее обновить ПО.

На прошлой неделе член PHP Group опубликовал детали нескольких ошибок, которые позволяют атаковать веб-серверы с версиями PHP с 3.0.10 по 4.1.1. Получив контроль над сервером, атакующие могут вывести из строя любые работающие на нем сайты или исполнять на сервере системные команды.

На следующий день британская группа Netcraft опубликовала свой ежемесячный статистический отчет по веб-сайтам, отметив, что почти 8,4 млн сайтов базируется на серверах с уязвимыми версиями PHP, причем миллион из этих сайтов беззащитен перед атаками. Судя по этим данным, ошибки PHP не менее опасны, чем ошибка фильтра ISAPI сервера индексации Microsoft Internet Information Server, которая позволила распространиться червю Code Red, считает главный специалист по защите сетей компании eEye Digital Security Марк Мэйфрет (Marc Maiffret). По данным Netcraft, в июне 2000 года, когда Microsoft сообщила об ошибке IIS, в интернете насчитывалось 6 млн уязвимых сайтов. Однако между сайтами и серверами нет взаимно-однозначного соответствия. eEye обнаружила ошибку и сообщила о ней Microsoft в апреле. По данным организации Cooperative Association for Internet Data Analysis, на 19 июля 2000 года модифицированной версией Code Red было заражено почти 360 тыс. серверов. Тогда червь почти насытил интернет, заразив практически каждый доступный из уязвимых серверов.

По словам Мэйфрета, есть свидетельства того, что червь PHP уже готовится в интернет-подполье. В кругах специалистов и хакеров циркулировал так называемый эксплойт — инструмент, позволяющий атаковать уязвимые системы. Обычно такой код содержит функцию для генерации случайных интернет-адресов или автоматический сканер для выбора следующей жертвы. Однако в реальном эксплойте ее не было, на основании чего эксперты сделали вывод, что это часть незавершенной программы. «Теперь мы ждем, чем это кончится», — сказал Мэйфрет.

Перед онлайновыми вандалами стоит непростая задача. Если ошибку сервера индексации ISAPI можно было использовать посредством несложной программы, то для создания червя PHP придется потрудиться значительно больше, считает менеджер проекта PHP Расмус Лердорф (Rasmus Lerdorf). Так как в разных версиях ПО природа ошибок различна, червь должен уметь определять конфигурацию каждого хоста и применять соответствующий метод атаки. К тому же веб-серверы обычно работают с ограниченными привилегиями доступа. На правильно защищенных серверах из-за упомянутых различий захватить управление зараженным компьютером будет гораздо сложнее.

Это может оказаться на руку администраторам веб-сайтов, использующих PHP, считает Стивен Эссер (Stefan Esser), другой член PHP Group и автор рекомендаций по борьбе с ошибками в языках сценариев. «PHP — это проект с открытым исходным кодом, а если судить по моему опыту, пользователи open-source продуктов часто лучше осведомлены о проблемах безопасности, чем пользователи продуктов Microsoft, — заявил он. — Я уверен, что пользователи open-source быстрее обновят свое ПО. Наиболее важные сайты уже сделали это».

И все же, чтобы предотвратить потенциальную угрозу для интернета, необходимо проапгрейдить не только крупные сайты.