[LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271,CVE-2014-7169)

Programa STIC stic en fundacionsadosky.org.ar
Mar Sep 30 09:35:13 BRT 2014 

Hola Herman

E n este blog hay una lista de diversos payload que se están usando.

http://www.fireeye.com/blog/technical/2014/09/shellshock-in-the-wild.html

Los ataques que detectaron Uds tenian payloads distintos?

saludos,
-ivan


El 29/09/14 19:06, hmereles escribió:
> Iván,
> 
> Atendimos un incidente pero que involucró a dos orígenes distintos.
> 
> Técnicamente vemos que están buscando explotar la vulnerabilidad
> mediante la ejecución de scripts del lado del servidor (apache). Esto
> es ejecutando scripts simples, y que comprobamos que no es necesario
> que tenga mas que una linea como #!/bin/bash en la primera linea. Con
> esto es suficiente para realizar RFI o LFI. Lo que si hemos
> determinado -atendiendo el incidente- que intentaron hacer RFI con el
> servidor, permitiendo la instalación de un pequeño programa escrito
> en perl (lo tenemos guardado) que agrega la posibilidad de generar
> una conexión reversa a un servidor identificado a un puerto
> identificado (hard coded). La parte del RFI intenta además registrar
> el IP de la víctima a fin de que sólo prrmita el acceso desde el
> sitio comprometido. Este comportamiento, que fue similar a otro (pero
> que no pudimos obtener código para analizar), nos permite deducir la
> situación: intentarán moverse muy rápido para aprovechar diseminar
> este tipo de malware para armar bots con servidores zombies.
> 
> Las noticias subsiguientes nos están dando la razón, en el sentido
> que están diseñando variedad de software para aprovechar la
> vulnerabilidad del bash.
> 
> La clave: actualizar el bash!!! Lo preocupante: que sucede con los
> dispositivos con Linux embebidos y que tengan bash como intérprete?
> 
> Saludos --- Herman Mereles CERTpy
> 
> Programa STIC <stic en fundacionsadosky.org.ar> wrote:
> 
>> Hola Herman
>> 
>> podrías dar detalles sobre la "bot" que se esta expandiendo?
>> 
>> Como explota la vulnerabilidad (que comandos corre), cuantos
>> ataques vieron y en que lapso de tiempo, de cuantos orígenes
>> distintos, etc.
>> 
>> 
>> saludos, -ivan
>> 
>> 
>> El 26/09/14 13:43, Herman Mereles escribió:
>>> Estimados,
>>> 
>>> Eso es solo a efectos de verificar que un sistema es vulnerable. 
>>> Es importante aclarar que ahora estamos detectando una "barrida" 
>>> buscando sitios vulnerables y, en algunos casos, ya detectamos
>>> la expansión de una bot aprovechando la vulnerabilidad.
>>> 
>>> Saludos --- El 26/09/14 09:31, Oswaldo Aguirre escribió:
>>>> ciertamente, pero me imagino que, al no haber ninguna variable
>>>> o patron que pueda ser instanciado, no hace mucha diferencia,
>>>> yo usaria simples, en eso concuerdo.
>>>> 
>>>> en una de las referencias 
>>>> <http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/>
>>>>
>>>> 
usan las simples
>>>> 
>>>> env x='() { :;}; echo vulnerable' bash -c "echo this is a
>>>> test"
>>>> 
>>>> saludos
>>>> 
>>>> 
>>>> On Fri, Sep 26, 2014 at 5:33 AM, Jose Luis Gaspoz
>>>> <gaspozj en is.com.ar <mailto:gaspozj en is.com.ar>> wrote:
>>>> 
>>>> Hernán:
>>>> 
>>>> ¿no están mal el tipo de comillas en la primera parte del
>>>> codigo del seteo de la variable? .... deberian ser comillas
>>>> simples y no dobles.
>>>> 
>>>> Saludos
>>>> 
>>>> Ing. Jose Luis Gaspoz Internet Services S.A. Tel: 0342-4565118 
>>>> Cel: 342-5008523
>>>> 
>>>> *From:* Herman Mereles <mailto:hmereles en senatics.gov.py> 
>>>> *Sent:* Thursday, September 25, 2014 5:32 PM *To:* Lista para
>>>> discusion de seguridad en redes y sistemas informaticos de la
>>>> region <mailto:seguridad en lacnic.net> *Subject:* Re:
>>>> [LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne Again Shell
>>>> (Bash) ‘Shellshock’ Vulnerability
>>>> (CVE-2014-6271,CVE-2014-7169)
>>>> 
>>>> Raúl, compañeros,
>>>> 
>>>> Este es un boletín que nosotros hemos redactado,
>>>> 
>>>> Saludos --- El 25/09/14 a las 16:19, Raul Cabrera escibió:
>>>>> 
>>>>> Del Blog Schneier on Security:
>>>>> 
>>>>> 
>>>>> 
>>>>> *“Nasty Vulnerability found in Bash” 
>>>>> (*https://www.schneier.com/blog/archives/2014/09/nasty_vulnerabi.html*)*
>>>>>
>>>>>
>>>>> 
>>>>> 
>>>>> Saludos cordiales.
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> RAUL EDUARDO CABRERA
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>>> *De:*Seguridad [mailto:seguridad-bounces en lacnic.net] *En
>>>>> nombre de *Fernando Gont *Enviado el:* jueves, 25 de
>>>>> septiembre de 2014 04:51 p.m. *Para:* Lista para discusión de
>>>>> seguridad en redes y sistemas informaticos de la región 
>>>>> *Asunto:* [LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne
>>>>> Again Shell (Bash) ‘Shellshock’ Vulnerability
>>>>> (CVE-2014-6271,CVE-2014-7169)
>>>>> 
>>>>> 
>>>>> 
>>>>> FYI
>>>>> 
>>>>> 
>>>>> 
>>>>> -------- Forwarded Message --------
>>>>> 
>>>>> *Subject: *
>>>>> 
>>>>> 
>>>>> 
>>>>> TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’ 
>>>>> Vulnerability (CVE-2014-6271,CVE-2014-7169)
>>>>> 
>>>>> *Date: *
>>>>> 
>>>>> 
>>>>> 
>>>>> Thu, 25 Sep 2014 14:10:57 -0500
>>>>> 
>>>>> *From: *
>>>>> 
>>>>> 
>>>>> 
>>>>> US-CERT mailto:US-CERT en ncas.us-cert.gov
>>>>> 
>>>>> *Reply-To: *
>>>>> 
>>>>> 
>>>>> 
>>>>> US-CERT en ncas.us-cert.gov <mailto:US-CERT en ncas.us-cert.gov>
>>>>> 
>>>>> *To: *
>>>>> 
>>>>> 
>>>>> 
>>>>> fernando en gont.com.ar <mailto:fernando en gont.com.ar>
>>>>> 
>>>>> 
>>>>> 
>>>>> NCCIC / US-CERT
>>>>> 
>>>>> National Cyber Awareness System:
>>>>> 
>>>>> *TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’ 
>>>>> Vulnerability (CVE-2014-6271,CVE-2014-7169) 
>>>>> <https://www.us-cert.gov/ncas/alerts/TA14-268A>*
>>>>> 
>>>>> /09/25/2014 12:56 PM EDT/
>>>>> 
>>>>> 
>>>>> 
>>>>> Original release date: September 25, 2014
>>>>> 
>>>>> 
>>>>> Systems Affected
>>>>> 
>>>>> * GNU Bash through 4.3. * Linux, BSD, and UNIX distributions
>>>>> including but not limited to:
>>>>> 
>>>>> o CentOS 
>>>>> <http://lists.centos.org/pipermail/centos/2014-September/146099.html>
>>>>>
>>>>> 
5 through 7
>>>>> o Debian 
>>>>> <https://lists.debian.org/debian-security-announce/2014/msg00220.html>
>>>>>
>>>>>
>>>>> 
o Mac OS X
>>>>> o Red Hat Enterprise Linux 4 through 7 o Ubuntu
>>>>> <http://www.ubuntu.com/usn/usn-2362-1/> 10.04 LTS, 12.04 LTS,
>>>>> and 14.04 LTS
>>>>> 
>>>>> 
>>>>> Overview
>>>>> 
>>>>> A critical vulnerability has been reported in the GNU Bourne 
>>>>> Again Shell (Bash), the common command-line shell used in
>>>>> most Linux/UNIX operating systems and Apple’s Mac OS X. The
>>>>> flaw could allow an attacker to remotely execute shell
>>>>> commands by attaching malicious code in environment variables
>>>>> used by the operating system [1]
>>>>> 


-- 
Programa de Seguridad en TIC
Fundación Dr. Manuel Sadosky
Av. Córdoba 744 Piso 5 Oficina I
TE/FAX: 4328-5164

Más información sobre la lista de distribución Seguridad