[LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’ Vulnerability (CVE-2014-6271,CVE-2014-7169)

Herman Mereles hmereles en senatics.gov.py
Mar Sep 30 16:57:23 BRT 2014 

Iván,

Muy similares a los mencionados, pero distinto.

De hecho los IPs involucrados son de países como: Rusia, Rumania, 
Slovenia, Países Bajos, Estados Unidos (Amazon!!!) y China.

Saludos

---
El 30/09/14 a las 08:35, Programa STIC escibió:
> Hola Herman
>
> E n este blog hay una lista de diversos payload que se están usando.
>
> http://www.fireeye.com/blog/technical/2014/09/shellshock-in-the-wild.html
>
> Los ataques que detectaron Uds tenian payloads distintos?
>
> saludos,
> -ivan
>
>
> El 29/09/14 19:06, hmereles escribió:
>> Iván,
>>
>> Atendimos un incidente pero que involucró a dos orígenes distintos.
>>
>> Técnicamente vemos que están buscando explotar la vulnerabilidad
>> mediante la ejecución de scripts del lado del servidor (apache). Esto
>> es ejecutando scripts simples, y que comprobamos que no es necesario
>> que tenga mas que una linea como #!/bin/bash en la primera linea. Con
>> esto es suficiente para realizar RFI o LFI. Lo que si hemos
>> determinado -atendiendo el incidente- que intentaron hacer RFI con el
>> servidor, permitiendo la instalación de un pequeño programa escrito
>> en perl (lo tenemos guardado) que agrega la posibilidad de generar
>> una conexión reversa a un servidor identificado a un puerto
>> identificado (hard coded). La parte del RFI intenta además registrar
>> el IP de la víctima a fin de que sólo prrmita el acceso desde el
>> sitio comprometido. Este comportamiento, que fue similar a otro (pero
>> que no pudimos obtener código para analizar), nos permite deducir la
>> situación: intentarán moverse muy rápido para aprovechar diseminar
>> este tipo de malware para armar bots con servidores zombies.
>>
>> Las noticias subsiguientes nos están dando la razón, en el sentido
>> que están diseñando variedad de software para aprovechar la
>> vulnerabilidad del bash.
>>
>> La clave: actualizar el bash!!! Lo preocupante: que sucede con los
>> dispositivos con Linux embebidos y que tengan bash como intérprete?
>>
>> Saludos --- Herman Mereles CERTpy
>>
>> Programa STIC <stic en fundacionsadosky.org.ar> wrote:
>>
>>> Hola Herman
>>>
>>> podrías dar detalles sobre la "bot" que se esta expandiendo?
>>>
>>> Como explota la vulnerabilidad (que comandos corre), cuantos
>>> ataques vieron y en que lapso de tiempo, de cuantos orígenes
>>> distintos, etc.
>>>
>>>
>>> saludos, -ivan
>>>
>>>
>>> El 26/09/14 13:43, Herman Mereles escribió:
>>>> Estimados,
>>>>
>>>> Eso es solo a efectos de verificar que un sistema es vulnerable.
>>>> Es importante aclarar que ahora estamos detectando una "barrida"
>>>> buscando sitios vulnerables y, en algunos casos, ya detectamos
>>>> la expansión de una bot aprovechando la vulnerabilidad.
>>>>
>>>> Saludos --- El 26/09/14 09:31, Oswaldo Aguirre escribió:
>>>>> ciertamente, pero me imagino que, al no haber ninguna variable
>>>>> o patron que pueda ser instanciado, no hace mucha diferencia,
>>>>> yo usaria simples, en eso concuerdo.
>>>>>
>>>>> en una de las referencias
>>>>> <http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/>
>>>>>
>>>>>
> usan las simples
>>>>> env x='() { :;}; echo vulnerable' bash -c "echo this is a
>>>>> test"
>>>>>
>>>>> saludos
>>>>>
>>>>>
>>>>> On Fri, Sep 26, 2014 at 5:33 AM, Jose Luis Gaspoz
>>>>> <gaspozj en is.com.ar <mailto:gaspozj en is.com.ar>> wrote:
>>>>>
>>>>> Hernán:
>>>>>
>>>>> ¿no están mal el tipo de comillas en la primera parte del
>>>>> codigo del seteo de la variable? .... deberian ser comillas
>>>>> simples y no dobles.
>>>>>
>>>>> Saludos
>>>>>
>>>>> Ing. Jose Luis Gaspoz Internet Services S.A. Tel: 0342-4565118
>>>>> Cel: 342-5008523
>>>>>
>>>>> *From:* Herman Mereles <mailto:hmereles en senatics.gov.py>
>>>>> *Sent:* Thursday, September 25, 2014 5:32 PM *To:* Lista para
>>>>> discusion de seguridad en redes y sistemas informaticos de la
>>>>> region <mailto:seguridad en lacnic.net> *Subject:* Re:
>>>>> [LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne Again Shell
>>>>> (Bash) ‘Shellshock’ Vulnerability
>>>>> (CVE-2014-6271,CVE-2014-7169)
>>>>>
>>>>> Raúl, compañeros,
>>>>>
>>>>> Este es un boletín que nosotros hemos redactado,
>>>>>
>>>>> Saludos --- El 25/09/14 a las 16:19, Raul Cabrera escibió:
>>>>>> Del Blog Schneier on Security:
>>>>>>
>>>>>>
>>>>>>
>>>>>> *“Nasty Vulnerability found in Bash”
>>>>>> (*https://www.schneier.com/blog/archives/2014/09/nasty_vulnerabi.html*)*
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> Saludos cordiales.
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> RAUL EDUARDO CABRERA
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> *De:*Seguridad [mailto:seguridad-bounces en lacnic.net] *En
>>>>>> nombre de *Fernando Gont *Enviado el:* jueves, 25 de
>>>>>> septiembre de 2014 04:51 p.m. *Para:* Lista para discusión de
>>>>>> seguridad en redes y sistemas informaticos de la región
>>>>>> *Asunto:* [LACNIC/Seguridad] Fwd: TA14-268A: GNU Bourne
>>>>>> Again Shell (Bash) ‘Shellshock’ Vulnerability
>>>>>> (CVE-2014-6271,CVE-2014-7169)
>>>>>>
>>>>>>
>>>>>>
>>>>>> FYI
>>>>>>
>>>>>>
>>>>>>
>>>>>> -------- Forwarded Message --------
>>>>>>
>>>>>> *Subject: *
>>>>>>
>>>>>>
>>>>>>
>>>>>> TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’
>>>>>> Vulnerability (CVE-2014-6271,CVE-2014-7169)
>>>>>>
>>>>>> *Date: *
>>>>>>
>>>>>>
>>>>>>
>>>>>> Thu, 25 Sep 2014 14:10:57 -0500
>>>>>>
>>>>>> *From: *
>>>>>>
>>>>>>
>>>>>>
>>>>>> US-CERT mailto:US-CERT en ncas.us-cert.gov
>>>>>>
>>>>>> *Reply-To: *
>>>>>>
>>>>>>
>>>>>>
>>>>>> US-CERT en ncas.us-cert.gov <mailto:US-CERT en ncas.us-cert.gov>
>>>>>>
>>>>>> *To: *
>>>>>>
>>>>>>
>>>>>>
>>>>>> fernando en gont.com.ar <mailto:fernando en gont.com.ar>
>>>>>>
>>>>>>
>>>>>>
>>>>>> NCCIC / US-CERT
>>>>>>
>>>>>> National Cyber Awareness System:
>>>>>>
>>>>>> *TA14-268A: GNU Bourne Again Shell (Bash) ‘Shellshock’
>>>>>> Vulnerability (CVE-2014-6271,CVE-2014-7169)
>>>>>> <https://www.us-cert.gov/ncas/alerts/TA14-268A>*
>>>>>>
>>>>>> /09/25/2014 12:56 PM EDT/
>>>>>>
>>>>>>
>>>>>>
>>>>>> Original release date: September 25, 2014
>>>>>>
>>>>>>
>>>>>> Systems Affected
>>>>>>
>>>>>> * GNU Bash through 4.3. * Linux, BSD, and UNIX distributions
>>>>>> including but not limited to:
>>>>>>
>>>>>> o CentOS
>>>>>> <http://lists.centos.org/pipermail/centos/2014-September/146099.html>
>>>>>>
>>>>>>
> 5 through 7
>>>>>> o Debian
>>>>>> <https://lists.debian.org/debian-security-announce/2014/msg00220.html>
>>>>>>
>>>>>>
>>>>>>
> o Mac OS X
>>>>>> o Red Hat Enterprise Linux 4 through 7 o Ubuntu
>>>>>> <http://www.ubuntu.com/usn/usn-2362-1/> 10.04 LTS, 12.04 LTS,
>>>>>> and 14.04 LTS
>>>>>>
>>>>>>
>>>>>> Overview
>>>>>>
>>>>>> A critical vulnerability has been reported in the GNU Bourne
>>>>>> Again Shell (Bash), the common command-line shell used in
>>>>>> most Linux/UNIX operating systems and Apple’s Mac OS X. The
>>>>>> flaw could allow an attacker to remotely execute shell
>>>>>> commands by attaching malicious code in environment variables
>>>>>> used by the operating system [1]
>>>>>>
>

Más información sobre la lista de distribución Seguridad