Sau Trái tim rỉ máu, đến rệp Shellshock đe dọa máy tính

Một nhà phân tích ở Phòng thí nghiệm quốc gia Idaho, Mỹ - Ảnh: Reuters

Reuters dẫn tuyên bố của Hội đồng thẩm tra các tổ chức tài chính liên bang Mỹ (FFIEC) hôm 26-9 cảnh báo các ngân hàng và cơ quan tài chính của Mỹ có khả năng sẽ trở thành mục tiêu tấn công của tin tặc trước mối nguy của rệp máy tính Shellshock, vốn đang đe dọa đến hàng triệu máy tính trên thế giới.

FFIEC cho rằng các thể chế tài chính từ Quỹ Dự trữ liên bang đến tất cả ngân hàng của Mỹ nên nhanh chóng sửa chữa và nâng cấp các phần mềm sử dụng trong các hệ thống máy tính của mình nhằm tránh những hậu quả khôn lường do rệp Shellshock gây ra.

Máy chủ là mục tiêu

Giới chuyên gia an ninh mạng quốc tế nhận định Shellshock gây nguy hiểm cho các hệ thống máy chủ, thiết bị mạng và ứng dụng trên nền Linux/Unix, bao gồm cả máy Mac OS X trên toàn thế giới và nguy cơ khai thác rộng lớn.

Shellshock (hay còn gọi là Bash bug) có mức độ nguy hiểm, phức tạp và ảnh hưởng thậm chí lớn hơn cả Heartbleed, cho phép tin tặc điều khiển từ xa máy chủ của các trang web hay các hệ thống mạng máy tính, từ đó thực hiện các cuộc tấn công.

Shellshock không đe dọa máy tính dùng Windows hay thiết bị Windows Phone do các hệ điều hành Microsoft phát triển không dùng nhân Linux.

Chỉ những hệ thống máy chủ, thiết bị mạng như tường lửa (firewall), bộ định tuyến mạng (router) cùng nhiều ứng dụng như OpenSSH, DHCP trên nền Linux/Unix nhúng phần mềm Bash bên trong, bao gồm cả hệ điều hành OS X cho máy Mac, hay iOS cho iPhone/iPad của Apple mới bị mắc lỗi này.

Trao đổi với Tuổi Trẻ về độ nguy hiểm của lỗi Shellshock, chuyên gia bảo mật Nguyễn Hồng Phúc nhận định: “Lỗi Shellshock rất phức tạp, tùy theo ứng dụng chứa Bash có quyền hạn nào đối với hệ thống thì tin tặc khai thác lỗi có thể chiếm quyền đó để điều khiển hệ thống mục tiêu, thực thi các câu lệnh từ xa và có thể tấn công leo thang đặc quyền”.

“Lỗi Shellshock mang nguy cơ lớn, không phân biệt biên giới, mở ra khả năng khai thác cho tin tặc mà các chuyên gia chưa thể ước lượng được hết. Bên cạnh đó, rất khó vá lỗi cho Bash bởi nhà phát triển gốc đã ngừng cập nhật phiên bản mới cho Bash. Thay vào đó, các bản cập nhật đều do cộng đồng sử dụng bao gồm các công ty tự phát triển cho phiên bản hệ điều hành hay ứng dụng của mình."

"Hiện có nhiều bản phân phối hệ điều hành như CentOS, RedHat, Fedora hay firmware điều khiển thiết bị mạng dựa trên nhân Linux (nguồn mở) do nhiều công ty phát triển có dùng Bash, nên sẽ rất khó khăn và mất nhiều thời gian để cập nhật bản vá lỗi. Và tại thời điểm này cũng chưa có bản vá hoàn thiện” - ông Phúc cho biết.

Cùng nói về phạm vi ảnh hưởng bởi Shellshock, chuyên gia an ninh mạng Tập đoàn FPT Nguyễn Minh Đức cho rằng lỗi Shellshock có tầm ảnh hưởng lớn và hiện tại chưa thể xác định phạm vi giới hạn của lỗi trên thiết bị hay ứng dụng.

“Trên thực tế, lỗi Shellshock đe dọa hạ tầng mạng doanh nghiệp, chủ yếu là máy chủ web hơn là đối tượng người dùng phổ thông với máy tính cá nhân. Khi khai thác thành công sẽ có mức độ nguy hiểm cao, cho phép hacker từ xa điều khiển được máy chủ, thiết bị mục tiêu”.

“Các tin tặc vẫn tiếp tục tìm lỗi trên các thiết bị và ứng dụng dùng Bash, do đó sẽ có thêm các khám phá mới trong thời gian tới. Tin tặc chỉ cần tìm ra cách tấn công dựa trên lỗ hổng ở một vài thiết bị trong hệ thống mạng cũng sẽ gây nguy hiểm cho mạng đó”.

Chạy đua với tin tặc

Ngay sau khi Shellshock được phát hiện và công bố ngày 24-9, chuyên gia bảo mật Kenn White của Mỹ đã kiểm tra thử nghiệm cho thấy hàng loạt máy chủ website cấp chính phủ, quân đội và hàng ngàn máy chủ khác có thể bị tấn công dễ dàng.

Người dùng máy tính cá nhân bị động trước lỗi, không thể tự xử lý và ít có nguy cơ bị tấn công bởi khai thác lỗi. Đây hoàn toàn là cuộc chạy đua giữa các chuyên gia an ninh mạng, các công ty có liên quan và tin tặc.

Đối với người dùng Mac, Apple cho biết hệ điều hành OS X mặc định tắt chức năng điều khiển từ xa Bash, không bị đe dọa từ lỗi Shellshock. Công ty sẽ sớm phát hành bản cập nhật vá lỗi này.

Google và Amazon tuyên bố đã khắc phục lỗ hổng trên các máy chủ nội bộ và các dịch vụ “đám mây” thương mại. Trong khi đó, RedHat nhanh chóng tung ra bản vá lỗi này cho các nền tảng RedHat như CentOS hay Fedora.

Về phía tin tặc, ngoài các mã thử nghiệm khai thác lỗi được tung lên mạng trong 24 giờ sau khi Shellshock được công bố, một phiên bản rệp  máy tính (worm) đầu tiên đã xuất hiện, được giới an ninh mạng cảnh báo tại hội nghị Virus Bulletin 2014.

Rệp máy tính giúp tin tặc quét tìm các hệ thống mắc lỗi, tự động gọi những câu lệnh thông qua Bash để chiếm dụng hàng loạt máy chủ. Dựa trên số máy chủ chiếm dụng được, tin tặc có thể tạo ra những đợt tấn công - từ chối - dịch vụ (DDoS) cấp độ khổng lồ.