Shellshock, ahora le toca a bash

Todo sobre seguridad, exploits, vulnerabilidades, bug's, etc.

Moderador: Moderadores

Shellshock, ahora le toca a bash

Notapor Newhack » Mar Oct 14, 2014 7:23 pm

Parece que le encontraron gusto a esto del linux, primero heartbleed, y ahora aun no
recuperados del susto, han atacado de nuevo por otra parte.

Esta vez le ha tocado nada menos que a bash. Si si, al mismísimo interprete de comandos,
el de toda la vida.

Hay que decir en la defensa de este s.o. que al contrario que en windows aún no han
encontrado un agujero que permita 'per se' colarse y hacer lo que quieras.
Pero claro, si vas buscando con mucha atención y ves una rajita aqui, y otra por allá, y
apoyándonos en ese otro punto, al final quizás si que podamos entrar.

En este caso, lo que han encontrado es que si precedes una orden para bash con una serie
determinada de carácteres, entonces puedes ejecutar lo que les sigue.

En otras palabras, tu puedes teclear una orden y normalmente se interpreta como una orden
dirigida a el seguida de un "texto plano" que contiene los parámetros.
Con este bug pueden dejar de ser un texto para convertirse en algo ejecutable.

Desde la linea de comandos, no deja de ser una curiosidad, una pequeña incorrección del
interprete que permite efectuar pequeños juegos o pequeños trucos. Pero se corrije y ya está.

El verdadero problema es que bash no está aqui solo para atenderte a ti, es un potente
enlace para todo tipo de procesos, scripts y demás, incluyendo los cgi por ejemplo.

Asi, si alguna secuencia maliciosa logra llegar al bash e introducir esa secuencia como
una petición a bash, se ejecutará lo que le siga, y con ayuda de algún otro bug en que puedan
agarrarse se podría introducir un gusano, alterar el kernel o vete tu a saber que otras
barbaridades.

Tengo aqui unas lineas de uno de los enlaces que creo que lo expresa bastante claro:
In addition, Graham said, "this thing is clearly wormable and can easily worm past firewalls and infect lots of systems. One key question is whether Mac OS X and iPhone DHCP service is vulnerable?once the worm gets behind a firewall and runs a hostile DHCP server, that would be 'game over' for large networks."

;-) ¿Queda claro el peligro, no ?.


¿Me habrá tocado a mi. Es mi sistema peligroso ?.

La extensión del bug resulta realmente grande. Tengamos en cuenta que viene casi desde el origen
de bash, hará unos 25 años, por lo tanto lo tienen todos lo unix, unix-like y derivados,
incluyendo linux y mac os x, y hay duda sobre si el servicio dhcp del iphone podria estar
afectado también.

Para saber si tu sistema es vulnerable, (es probable que si), es muy fácil, solo has de
introducir la linea de texto que aparece en los artículos sobre esto.
Según como la interperte estás incluido o no en el problema.
El problema cubre desde la versión 1.14 a la 4.3 de bash.

¿Y que hago ahora ?.
Pues bueno, la solución mas obvia y rápida es ir a las correspondientes páginas de seguridad
de cada sitio o distro, y bajarse el patch. O directamente, si te es posible descargarte
una versión nueva de bash que te aseguren que ya no tiene este problema.


Ayy, Vaya veranito que nos han dado a los del software libre.


Enlaces:

http://arstechnica.com/security/2014/09 ... nix-in-it/
http://arstechnica.com/security/2014/09 ... -the-wild/

http://web.nvd.nist.gov/view/vuln/detai ... -2014-7169
http://web.nvd.nist.gov/view/vuln/detai ... -2014-6271

http://www.neoteo.com/shellshock-que-es ... ede-hacer/
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1873
Registrado: Jue Dic 20, 2007 7:36 pm

Re: Shellshock, ahora le toca a bash

Notapor Sor_Zitroën » Mié Oct 15, 2014 3:28 pm

Newhack escribió:En este caso, lo que han encontrado es que si precedes una orden para bash con una serie
determinada de carácteres, entonces puedes ejecutar lo que les sigue.

En otras palabras, tu puedes teclear una orden y normalmente se interpreta como una orden
dirigida a el seguida de un "texto plano" que contiene los parámetros.
Con este bug pueden dejar de ser un texto para convertirse en algo ejecutable.


Mmmm, no. El problema es que en bash las funciones se exportan metiéndolas en una variable de entorno y se acaba ejecutando el código que sigue a la función como si nada.

Aunque hoy más bien la noticia sería POODLE, no Shellshock ;)
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Re: Shellshock, ahora le toca a bash

Notapor Newhack » Jue Oct 16, 2014 6:31 pm

Hola!. Que gusto ver alguna cara conocida, ya empezaba a aburrirme aqui solo. Imagen


Si, vale, el bug no es precisamente de ultima hora, pero como igualmente es importante lo puse, mas que
nada por aquello de que alguien ha de poner algo nuevo. ... Y como mis ultimos intentos comunicativos
y de consulta han fracasado ...


Aunque hoy más bien la noticia sería POODLE, no Shellshock

Si, es que no paramos. Y como a openssl ya le dieron ' pal pelo ' ahora le vuelve a tocar al ssl normal.

Y hablando de seguridad, otro asunto que ronda por ahi desde antes de vacaciones es el del bad usb, que mirado asi por encima parece que es una infección que puede venir incluso grabada en el propio dispositivo.
A ver quien desinfecta un hardware!. :roll:
... O eso es lo que me pareció entender. Ahora que ya está corriendo por ahi, uno de estos dias tengo que
descargar información sobre el tema y ponerme a leer.


Saludos a toda la tropa. O al menos a todos los que aún nos visitan.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1873
Registrado: Jue Dic 20, 2007 7:36 pm

Re: Shellshock, ahora le toca a bash

Notapor Sor_Zitroën » Vie Oct 17, 2014 1:55 am

Sí, este año ha tocado festival gordo de vulnerabilidades con Heartbleed, Shellshock y POODLE. Respecto a BadUSB por lo que recuerdo el punto está en que se puede modificar el firmware de los dispositivos y meter un payload malicioso.

En fin, que llevamos un año que no paramos :)
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Re: Shellshock, ahora le toca a bash

Notapor neomathews » Vie Oct 24, 2014 9:39 am

Y no olvidéis la última de Drupal <= 7.31 (Drupageddon) que permite cambiar el hash de las contraseñas por una SQLi http://www.zoubi.me/blog/drupageddon-sa ... ploit-demo :badgrin:
"No os diré no lloréis, pues no todas las lágrimas son amargas."
Avatar de Usuario
neomathews
<|:-)
<|:-)
 
Mensajes: 256
Registrado: Mar Jul 04, 2006 12:22 pm

Re: Shellshock, ahora le toca a bash

Notapor Newhack » Dom Oct 26, 2014 7:29 pm

Errr.. ¿Drupal no se usaba también para las bases de datos de artículos de venta online en las web ?. :x (glups).

Si te cambian las cosas de la base de datos de tus artículos a mas de uno le dará un susto.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1873
Registrado: Jue Dic 20, 2007 7:36 pm


Volver a Seguridad

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados

cron