[LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271,CVE-2014-7169)
hmereles
hmereles en senatics.gov.py
Lun Sep 29 19:06:20 BRT 2014
Iván,
Atendimos un incidente pero que involucró a dos orígenes distintos.
Técnicamente vemos que están buscando explotar la vulnerabilidad mediante la ejecución de scripts del lado del servidor (apache). Esto es ejecutando scripts simples, y que comprobamos que no es necesario que tenga mas que una linea como #!/bin/bash en la primera linea. Con esto es suficiente para realizar RFI o LFI. Lo que si hemos determinado -atendiendo el incidente- que intentaron hacer RFI con el servidor, permitiendo la instalación de un pequeño programa escrito en perl (lo tenemos guardado) que agrega la posibilidad de generar una conexión reversa a un servidor identificado a un puerto identificado (hard coded). La parte del RFI intenta además registrar el IP de la víctima a fin de que sólo prrmita el acceso desde el sitio comprometido.
Este comportamiento, que fue similar a otro (pero que no pudimos obtener código para analizar), nos permite deducir la situación: intentarán moverse muy rápido para aprovechar diseminar este tipo de malware para armar bots con servidores zombies.
Las noticias subsiguientes nos están dando la razón, en el sentido que están diseñando variedad de software para aprovechar la vulnerabilidad del bash.
La clave: actualizar el bash!!!
Lo preocupante: que sucede con los dispositivos con Linux embebidos y que tengan bash como intérprete?
Saludos
---
Herman Mereles
CERTpy
Programa STIC <stic en fundacionsadosky.org.ar> wrote:
>Hola Herman
>
>podrías dar detalles sobre la "bot" que se esta expandiendo?
>
>Como explota la vulnerabilidad (que comandos corre), cuantos ataques
>vieron y en que lapso de tiempo, de cuantos orígenes distintos, etc.
>
>
>saludos,
>-ivan
>
>
>El 26/09/14 13:43, Herman Mereles escribió:
>> Estimados,
>>
>> Eso es solo a efectos de verificar que un sistema es vulnerable.
>> Es importante aclarar que ahora estamos detectando una "barrida"
>> buscando sitios vulnerables y, en algunos casos, ya detectamos la
>> expansión de una bot aprovechando la vulnerabilidad.
>>
>> Saludos
>> ---
>> El 26/09/14 09:31, Oswaldo Aguirre escribió:
>>> ciertamente, pero me imagino que, al no haber ninguna
>>> variable o patron que pueda ser instanciado, no hace mucha
>>> diferencia, yo usaria simples, en eso concuerdo.
>>>
>>> en una de las referencias
>>> <http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/>
>>> usan las simples
>>>
>>> env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
>>>
>>> saludos
>>>
>>>
>>> On Fri, Sep 26, 2014 at 5:33 AM, Jose Luis Gaspoz <gaspozj en is.com.ar
>>> <mailto:gaspozj en is.com.ar>> wrote:
>>>
>>> Hernán:
>>>
>>> ¿no están mal el tipo de comillas en la primera parte del codigo
>>> del seteo de la variable? .... deberian ser comillas simples y no
>>> dobles.
>>>
>>> Saludos
>>>
>>> Ing. Jose Luis Gaspoz
>>> Internet Services S.A.
>>> Tel: 0342-4565118
>>> Cel: 342-5008523
>>>
>>> *From:* Herman Mereles <mailto:hmereles en senatics.gov.py>
>>> *Sent:* Thursday, September 25, 2014 5:32 PM
>>> *To:* Lista para discusion de seguridad en redes y sistemas
>>> informaticos de la region <mailto:seguridad en lacnic.net>
>>> *Subject:* Re: [LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne Again
>>> Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271,CVE-2014-7169)
>>>
>>> Raúl, compañeros,
>>>
>>> Este es un boletín que nosotros hemos redactado,
>>>
>>> Saludos
>>> ---
>>> El 25/09/14 a las 16:19, Raul Cabrera escibió:
>>>>
>>>> Del Blog Schneier on Security:
>>>>
>>>>
>>>>
>>>> *“Nasty Vulnerability found in Bash”
>>>> (*https://www.schneier.com/blog/archives/2014/09/nasty_vulnerabi.html*)*
>>>>
>>>>
>>>>
>>>> Saludos cordiales.
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> RAUL EDUARDO CABRERA
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> *De:*Seguridad [mailto:seguridad-bounces en lacnic.net] *En nombre
>>>> de *Fernando Gont
>>>> *Enviado el:* jueves, 25 de septiembre de 2014 04:51 p.m.
>>>> *Para:* Lista para discusión de seguridad en redes y sistemas
>>>> informaticos de la región
>>>> *Asunto:* [LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne Again
>>>> Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271,CVE-2014-7169)
>>>>
>>>>
>>>>
>>>> FYI
>>>>
>>>>
>>>>
>>>> -------- Forwarded Message --------
>>>>
>>>> *Subject: *
>>>>
>>>>
>>>>
>>>> TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’
>>>> Vulnerability (CVE-2014-6271,CVE-2014-7169)
>>>>
>>>> *Date: *
>>>>
>>>>
>>>>
>>>> Thu, 25 Sep 2014 14:10:57 -0500
>>>>
>>>> *From: *
>>>>
>>>>
>>>>
>>>> US-CERT mailto:US-CERT en ncas.us-cert.gov
>>>>
>>>> *Reply-To: *
>>>>
>>>>
>>>>
>>>> US-CERT en ncas.us-cert.gov <mailto:US-CERT en ncas.us-cert.gov>
>>>>
>>>> *To: *
>>>>
>>>>
>>>>
>>>> fernando en gont.com.ar <mailto:fernando en gont.com.ar>
>>>>
>>>>
>>>>
>>>> NCCIC / US-CERT
>>>>
>>>> National Cyber Awareness System:
>>>>
>>>> *TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’
>>>> Vulnerability (CVE-2014-6271,CVE-2014-7169)
>>>> <https://www.us-cert.gov/ncas/alerts/TA14-268A>*
>>>>
>>>> /09/25/2014 12:56 PM EDT/
>>>>
>>>>
>>>>
>>>> Original release date: September 25, 2014
>>>>
>>>>
>>>> Systems Affected
>>>>
>>>> * GNU Bash through 4.3.
>>>> * Linux, BSD, and UNIX distributions including but not limited to:
>>>>
>>>> o CentOS
>>>> <http://lists.centos.org/pipermail/centos/2014-September/146099.html>
>>>> 5 through 7
>>>> o Debian
>>>> <https://lists.debian.org/debian-security-announce/2014/msg00220.html>
>>>>
>>>> o Mac OS X
>>>> o Red Hat Enterprise Linux 4 through 7
>>>> o Ubuntu <http://www.ubuntu.com/usn/usn-2362-1/> 10.04 LTS,
>>>> 12.04 LTS, and 14.04 LTS
>>>>
>>>>
>>>> Overview
>>>>
>>>> A critical vulnerability has been reported in the GNU Bourne
>>>> Again Shell (Bash), the common command-line shell used in most
>>>> Linux/UNIX operating systems and Apple’s Mac OS X. The flaw could
>>>> allow an attacker to remotely execute shell commands by attaching
>>>> malicious code in environment variables used by the operating
>>>> system [1]
>>>>
Más información sobre la lista de distribución Seguridad