Sårbarheter som uppdagas i de mest vanliga hörnstenarna blir allt fler. Flertalet sårbarheter är tämligen allvarliga och inte blir det bättre av att det är just hörnstenarna som är satta i gungning. Vi har under alla år levt med en mängd sårbarheter där var och en kan vara skillnaden mellan ont och gott.
Det har gått knappt ett halvår sedan OpenSSL (CVE-2014-0160, ”Heartbleed”) var på allas läppar och nu är det dags att konstatera att Unix-skalet bash innehåller en sårbarhet (CVE-2014-6271, ”Shellshock”) som gör det möjligt att köra godtycklig kod. Sannolikt kommer det att med tiden gå att dra flera paralleller med OpenSSL, även om sårbarheten i sig inte har några direkta likheter. Jag minns särskilt att flera av de tillverkare som använde OpenSSL i sina produkter lugnade sina kunder och konstaterade att de inte var sårbara. Flera slickar fortfarande sina illa läkta sår. Jag hoppas att jag inte får rätt att historien upprepar sig.
Sårbarheten i bash är så pass allvarlig att vi garanterat kommer att se ett uppsving av skadlig kod, exempelvis i form av nya maskar. Vi kommer garanterat också se ett uppsving av illvilliga som exempelvis tar webbsajter, nätutrustning och allehanda informationstillgångar i besittning. En enkel väg fram är att nyttja CGI-script. En annan är att adressera DHCP-klienten i flera implementationer. Stora mängder med exempel på elak kod finns redan i omlopp. Hujedamig!
Försök är gjorda att eliminera sårbarheten i bash, men i skrivande stund är det inte helt löst, varför vi krasst kan konstatera att vi just nu lever med en riktigt allvarlig sårbarhet som är allmänt känd och som det inte ”bara” går att patcha så är det löst. Finns möjligheten att göra filtrering på applikationsnivå så är det en väg fram för att hindra att sårbarheten utnyttjas.
Vilken beredskap har egentligen organisationen att hantera denna typ av sårbarhet? Det kan kort konstateras att flera har vant sig vid att det kommer patchar som bara är att installera och sedan är sårbarheten ett minne blott. I den bästa av världar kommer det en hög patchar en förutbestämd dag i månaden som lätt kan planeras in. Men, nu är det inte patch-tisdag och nu är det inte ens en patch som är lösningen. Nu krävs ett intensivt inventeringsarbete för att se i vilken utsträckning organisationen är sårbar och etablera skydd utifrån bästa förmåga. Saknas skydd så är det i förekommande fall bäst att isolera sårbarheten så att den inte kan nyttjas för åtkomst till de informationstillgångar som har högst skyddsvärde.
Även om inventeringen visar att organisationen inte är sårbar så ta tillfället i akt och tillse att organisationen har den beredskap som denna typ av sårbarhet kräver och att organisationen också har förmågan att agera på allvarliga sårbarheter som inte tillräckligt snabbt går att lösa med en patch.
Heartbleed, Shellshock…. vad blir det härnäst? Det enda vi vet är att det blir ett ”härnäst” och att våra mest grundläggande hörnstenar är i gungning. Rusta dig och din organisation utifrån detta faktum!
Thomas Nilsson
