[LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271,CVE-2014-7169)
Programa STIC
stic en fundacionsadosky.org.ar
Mar Sep 30 09:35:13 BRT 2014
Hola Herman
E n este blog hay una lista de diversos payload que se están usando.
http://www.fireeye.com/blog/technical/2014/09/shellshock-in-the-wild.html
Los ataques que detectaron Uds tenian payloads distintos?
saludos,
-ivan
El 29/09/14 19:06, hmereles escribió:
> Iván,
>
> Atendimos un incidente pero que involucró a dos orígenes distintos.
>
> Técnicamente vemos que están buscando explotar la vulnerabilidad
> mediante la ejecución de scripts del lado del servidor (apache). Esto
> es ejecutando scripts simples, y que comprobamos que no es necesario
> que tenga mas que una linea como #!/bin/bash en la primera linea. Con
> esto es suficiente para realizar RFI o LFI. Lo que si hemos
> determinado -atendiendo el incidente- que intentaron hacer RFI con el
> servidor, permitiendo la instalación de un pequeño programa escrito
> en perl (lo tenemos guardado) que agrega la posibilidad de generar
> una conexión reversa a un servidor identificado a un puerto
> identificado (hard coded). La parte del RFI intenta además registrar
> el IP de la víctima a fin de que sólo prrmita el acceso desde el
> sitio comprometido. Este comportamiento, que fue similar a otro (pero
> que no pudimos obtener código para analizar), nos permite deducir la
> situación: intentarán moverse muy rápido para aprovechar diseminar
> este tipo de malware para armar bots con servidores zombies.
>
> Las noticias subsiguientes nos están dando la razón, en el sentido
> que están diseñando variedad de software para aprovechar la
> vulnerabilidad del bash.
>
> La clave: actualizar el bash!!! Lo preocupante: que sucede con los
> dispositivos con Linux embebidos y que tengan bash como intérprete?
>
> Saludos --- Herman Mereles CERTpy
>
> Programa STIC <stic en fundacionsadosky.org.ar> wrote:
>
>> Hola Herman
>>
>> podrías dar detalles sobre la "bot" que se esta expandiendo?
>>
>> Como explota la vulnerabilidad (que comandos corre), cuantos
>> ataques vieron y en que lapso de tiempo, de cuantos orígenes
>> distintos, etc.
>>
>>
>> saludos, -ivan
>>
>>
>> El 26/09/14 13:43, Herman Mereles escribió:
>>> Estimados,
>>>
>>> Eso es solo a efectos de verificar que un sistema es vulnerable.
>>> Es importante aclarar que ahora estamos detectando una "barrida"
>>> buscando sitios vulnerables y, en algunos casos, ya detectamos
>>> la expansión de una bot aprovechando la vulnerabilidad.
>>>
>>> Saludos --- El 26/09/14 09:31, Oswaldo Aguirre escribió:
>>>> ciertamente, pero me imagino que, al no haber ninguna variable
>>>> o patron que pueda ser instanciado, no hace mucha diferencia,
>>>> yo usaria simples, en eso concuerdo.
>>>>
>>>> en una de las referencias
>>>> <http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/>
>>>>
>>>>
usan las simples
>>>>
>>>> env x='() { :;}; echo vulnerable' bash -c "echo this is a
>>>> test"
>>>>
>>>> saludos
>>>>
>>>>
>>>> On Fri, Sep 26, 2014 at 5:33 AM, Jose Luis Gaspoz
>>>> <gaspozj en is.com.ar <mailto:gaspozj en is.com.ar>> wrote:
>>>>
>>>> Hernán:
>>>>
>>>> ¿no están mal el tipo de comillas en la primera parte del
>>>> codigo del seteo de la variable? .... deberian ser comillas
>>>> simples y no dobles.
>>>>
>>>> Saludos
>>>>
>>>> Ing. Jose Luis Gaspoz Internet Services S.A. Tel: 0342-4565118
>>>> Cel: 342-5008523
>>>>
>>>> *From:* Herman Mereles <mailto:hmereles en senatics.gov.py>
>>>> *Sent:* Thursday, September 25, 2014 5:32 PM *To:* Lista para
>>>> discusion de seguridad en redes y sistemas informaticos de la
>>>> region <mailto:seguridad en lacnic.net> *Subject:* Re:
>>>> [LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne Again Shell
>>>> (Bash) ‘Shellshock’ Vulnerability
>>>> (CVE-2014-6271,CVE-2014-7169)
>>>>
>>>> Raúl, compañeros,
>>>>
>>>> Este es un boletín que nosotros hemos redactado,
>>>>
>>>> Saludos --- El 25/09/14 a las 16:19, Raul Cabrera escibió:
>>>>>
>>>>> Del Blog Schneier on Security:
>>>>>
>>>>>
>>>>>
>>>>> *“Nasty Vulnerability found in Bash”
>>>>> (*https://www.schneier.com/blog/archives/2014/09/nasty_vulnerabi.html*)*
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> Saludos cordiales.
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> RAUL EDUARDO CABRERA
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> *De:*Seguridad [mailto:seguridad-bounces en lacnic.net] *En
>>>>> nombre de *Fernando Gont *Enviado el:* jueves, 25 de
>>>>> septiembre de 2014 04:51 p.m. *Para:* Lista para discusión de
>>>>> seguridad en redes y sistemas informaticos de la región
>>>>> *Asunto:* [LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne
>>>>> Again Shell (Bash) ‘Shellshock’ Vulnerability
>>>>> (CVE-2014-6271,CVE-2014-7169)
>>>>>
>>>>>
>>>>>
>>>>> FYI
>>>>>
>>>>>
>>>>>
>>>>> -------- Forwarded Message --------
>>>>>
>>>>> *Subject: *
>>>>>
>>>>>
>>>>>
>>>>> TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’
>>>>> Vulnerability (CVE-2014-6271,CVE-2014-7169)
>>>>>
>>>>> *Date: *
>>>>>
>>>>>
>>>>>
>>>>> Thu, 25 Sep 2014 14:10:57 -0500
>>>>>
>>>>> *From: *
>>>>>
>>>>>
>>>>>
>>>>> US-CERT mailto:US-CERT en ncas.us-cert.gov
>>>>>
>>>>> *Reply-To: *
>>>>>
>>>>>
>>>>>
>>>>> US-CERT en ncas.us-cert.gov <mailto:US-CERT en ncas.us-cert.gov>
>>>>>
>>>>> *To: *
>>>>>
>>>>>
>>>>>
>>>>> fernando en gont.com.ar <mailto:fernando en gont.com.ar>
>>>>>
>>>>>
>>>>>
>>>>> NCCIC / US-CERT
>>>>>
>>>>> National Cyber Awareness System:
>>>>>
>>>>> *TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’
>>>>> Vulnerability (CVE-2014-6271,CVE-2014-7169)
>>>>> <https://www.us-cert.gov/ncas/alerts/TA14-268A>*
>>>>>
>>>>> /09/25/2014 12:56 PM EDT/
>>>>>
>>>>>
>>>>>
>>>>> Original release date: September 25, 2014
>>>>>
>>>>>
>>>>> Systems Affected
>>>>>
>>>>> * GNU Bash through 4.3. * Linux, BSD, and UNIX distributions
>>>>> including but not limited to:
>>>>>
>>>>> o CentOS
>>>>> <http://lists.centos.org/pipermail/centos/2014-September/146099.html>
>>>>>
>>>>>
5 through 7
>>>>> o Debian
>>>>> <https://lists.debian.org/debian-security-announce/2014/msg00220.html>
>>>>>
>>>>>
>>>>>
o Mac OS X
>>>>> o Red Hat Enterprise Linux 4 through 7 o Ubuntu
>>>>> <http://www.ubuntu.com/usn/usn-2362-1/> 10.04 LTS, 12.04 LTS,
>>>>> and 14.04 LTS
>>>>>
>>>>>
>>>>> Overview
>>>>>
>>>>> A critical vulnerability has been reported in the GNU Bourne
>>>>> Again Shell (Bash), the common command-line shell used in
>>>>> most Linux/UNIX operating systems and Apple’s Mac OS X. The
>>>>> flaw could allow an attacker to remotely execute shell
>>>>> commands by attaching malicious code in environment variables
>>>>> used by the operating system [1]
>>>>>
--
Programa de Seguridad en TIC
Fundación Dr. Manuel Sadosky
Av. Córdoba 744 Piso 5 Oficina I
TE/FAX: 4328-5164
Más información sobre la lista de distribución Seguridad