Tag Archives: red hat

CVE-2014-6271: Bug Bash o Shellshock: Un importante fallo de seguridad en GNU Bash

shellshock-logo

El ingeniero francés Stéphane Chazelas ha encontrado un grave fallo de seguridad en la shell GNU Bourne Again Shell (Bash). La shell bash se usa en millones de equipos alrededor del mundo.

El fallo de seguridad está en como Bash procesa las variables de entorno pasadas por el sistema operativo o por un script bash. Si bash hubiera sido configurado como la shell por defecto, un atacante podría planear un ataque remoto a través de la ejecución de código en el servidor mediante peticiones web, telnet o cualquier otro programa que ejecute un shell script.

Las impliciones de este fallo de seguridad serían superiores al bug Heartbleed (especialmente combinando un ataque de este tipo con otros de escalada de privilegios), que recientemente ponía patas arriba la mayor parte de las conexiones seguras de la www.

Entre los sistemas operativos afectados están:

Red Hat Enterprise Linux (versiones 4 hasta 7), Fedora, CentOS (versión 5 a 7)
Debian, Ubuntu (10.04 LTS, 12.04 LTS, y 14.04 LTS)
OSX 10.9.4 (Mavericks)

Las versiones afectadas de Bash son desde la 1.14 hasta la 4.3. Es posible comprobar la versión de bash que estamos usando con el siguiente comando desde la terminal:

Si bien ya la mayoría de fabricantes de sistemas operativos ya han proporcionado un parche en forma de actualización, Apple todavía no se ha pronunciado.

Una forma sencilla de verificar si nuestra versión es compatible y que ha desarrollado la gente del blog de seguridad de RedHat, es utilizar el siguiente comando en la terminal:

Si el intérprete fuera vulnerable recibiríamos la siguiente respuesta:

Mientras que si no lo fuera recibiríamos la siguiente:

En Ubuntu ya han actualizado los repositorios con el parche, por lo que podemos hacer:

Por parte de Apple todavía no tenemos noticias de un parche.

Saludos,

Actualización (Act.):

Precisamente Ars Technica ha escrito un artículo al respecto donde explica que el fallo de seguridad ha podido ser usado por botnets. De hecho en git ya hay un código fuente para explotar el bug sin ser detectado por los antivirus y se dice que podría haber usado para el robo de las fotos privadas de Emma Watson.

Concern over bash vulnerability grows as exploit reported in the wild (ArsTechnica)

Más, por aquí:

Kernel Mode (Linux/Bash0day alias Shellshock alias Bashdoor): 1, 2
Hacker News: 1

Act.:

A la espera de una respuesta oficial, un usuario de stackexchange da la Solución para OSX, básicamente se trata de compilar la versión parcheada.

Cygwin vulnerable:

cygwin-shellshock-vulnerable

Algunas formas de explotar remotamente el bug serían:

A través del popular cliente dhcp dhcpcd.

A través de Apache-CGI, obseleto hoy en día, pero bastante difundido.

Pero no todo se limita a dhcpcd o Apache-CGI, seguramente irán saliendo nuevas formas de explotar este fallo de seguridad (smartphones…), por lo que lo más prudente es actualizar el sistema cuanto antes mejor.

Act (29/09/2014). Concept Proof Exploit Apache-CGI:

Alguien de la universidad de Virginia Tech ha mostrado una prueba de concepto para explotar la vulnerabilidad en los sistemas de Digital Alert Systems DASDEC que permite la ejecución remota. Combinándolo con la CVE-2009-2692 que permite la escalada de privilegios, daría lugar a tomar completamente el sistema de alertas de de emergencia. (Vía Full disclosure)


I'm able to get remote code execution via CVE-2014-6271 on the Digital Alert Systems DASDEC. This appliance is used by broadcasters to send and
receive Emergency Alert System messages over IP and AFSK. Once authenticated, an attacker can interrupt broadcasts (via a relay) and play arbitrary audio over the airwaves.

Exploiting it only requires a malicious HTTP header:

curl -H 'X-Shell-Shock: () { :; }; /bin/echo vulnerable > /tmp/dumped_file'
http://192.168.0.45/dasdec/dasdec.csp

[matt@WUVT-EAS ~]# cat /tmp/dumped_file vulnerable

Commands are executed as the apache user, but privilege escalation can still
be obtained through CVE-2009-2692 despite the vendor's recent cumulative security patch.

I suspect all versions of the DASDEC are vulnerable to this, although I only have a DASDEC-1EN running software version 2.0-2 to test.

A estas alturas OpenVas, el softwre open source para detectar y analizar vulnerabilidades ya ha publicado un nuevo NVT para la CVE-2014-6271, También su hermano comercial Nessus.

Precisamente desde los foros de Nessus llegan pruebas de concepto de formas de explotar el bug:

CGI Abuses(web)
RHEL Local Sec Check
Debian Local Sec Check
Gain a shell remotely

Act (29/09/2014). Otras CVEs combinables:

CVE-2014-6277
CVE-2014-6278

FUENTES:
http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169