martes, 2 de junio de 2015

ShellShock, la nueva amenaza[Repost]


ShellShock, una nueva amenaza que afecta a la popular interfaz de comandos BASH, que se incluye en prácticamente en todas las distribuciones de Linux (/bin/bash), desde la versión Bash 1.14.0 a Bash 4.3 (de 1994 a nuestros días). Para fortuna de muchos ya existe el parche.
A no olvidar que también se incluye la interfaz de comandos BASH en: Unix, BSD, MacOS X, telefonos android, routers, Access Point, Switch y por dar otro ejemplo agrego DVRs().

El fallo es potencialmente peligroso ya que le da a un atacante sin muchos conocimientos informáticos la posibilidad de ejecución remota de código, sobre el equipo vulnerable (como mostrare unas líneas más abajo).

Ahora si se desea comprobar si la versión de Bash de tu sistema linux es vulnerable debe correr el siguiente comando: “$bash --help”, o también puede averiguar si su sistema es vulnerable con una simple POC (Prueba de concepto) en donde tendrás que ir a tu a tu interfaz de comandos Bash y probar a declarar una función como una variable de entorno, pero añadiendo después de la definición un comando a ejecutar.



env x='() { :;}; echo vulnerable' bash -c "echo Esto es una prueba"

El fallo es que bash, al interpretar esto(’(){ :; };’), no se detiene en el último punto y coma, sino que sigue. 

Otro ejemplo:

env VARiableDENTORNO=’(){ :; }; echo "Se ha ejecutado el echo... y lo que queramos"’ env x='() { (a)=>\' bash -c "cat /etc/passwd";


CÓMO EXPLOTAR EL BUG ?

Pensemos ahora “remoto”; Si el fallo lo trasladamos a un servidor web con el motor CGI activado (el escenario mas vulnerable), en donde un script escrito en bash es llamado (a través de CGI-BIN), se podrían utilizar las variables para ejecutar código en el servidor

LIVE ATACK:


Se reemplazará el en contenido del campo “user agent”, en donde el payload a inyectar podra ser: 
() { :;}; /bin/bash -c "cat /etc/passwd". 



Fuente: http://www.taringa.net/posts/info/18198822/ShellShock-la-nueva-amenaza.html



Saludos,
@Capitan_Alfa

No hay comentarios.:

Publicar un comentario