Θα θέλαμε να σας ενημερώσουμε οτι δημοσιεύθηκε σοβαρή ευπάθεια που αφορά το λογισμικό GNU:BASH (όλες οι εκδόσεις μεχρι και 4.3).

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271



Περιγραφή

Η ευπάθεια οφείλεται σε κακό χειρισμό των strings που ακολουθούν τον ορισμό ένος funtion και ποιό συγκεκριμένα των environment variables αυτού.

Η ευπάθεια επιτρέπει σε απομακρυσμένους κακόβουλους χρήστες την εκτέλεση κώδικα (arbitrary execution) όπως επιδεικνύεται σε attack vectors εκμεταλλευόμενα την εντολή ForceCommand στις υλοποιήσεις OpenSSH sshd, mod_cgi και mod_cgid modules του Apache HTTP Server αλλά και πολλών άλλων περιπτώσεων.


Επικινδυνότητα

Η ευπάθεια αυτή θεωρείται πολύ επικίνδυνη λόγω του μεγάλου αριθμού λογισμικού που χρησιμοποιεί το Bash Shell για να εκτελέσει μια ή περισσότερες λειτουργίες.


Τρόπος Διάγνωσης

Για να εξετάσετε εάν η έκδοση Bash που χρησιμοποιείτε είναι ευάλωτη στην ευπάθεια εκτελέστε το παρακάτω:
 
$ env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"


Το output μιας ευπαθούς εγκατάστασης θα είναι:

vulnerable
this is a test


Patch

Ακολουθήστε τις παρακάτω οδηγίες:


https://access.redhat.com/articles/1200223



Intrusion Detection

Θέστε τα παρακάτω απλά alerts για γρήγορο εντοπισμό αυτοματοποιημένων scans που στοχεύουν την συγκεκριμένη ευπάθεια:


> Suricata Format

    alert http $EXTERNAL_NET any -> $HOME_NET any (msg:” Possible CVE-2014-6271 bash Vulnerability Requested (header)”; flow:established,to_server; content:”() {“; http_header;  threshold:type limit, track by_src, count 1, seconds 120; sid:2014092401;)


> Snort Format

    alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:” Possible CVE-2014-6271 bash Vulnerability Requested (header)“;flow:established,to_server; content:”() {“; http_header;  threshold:type limit, track by_src, count 1, seconds 120; sid:2014092401;)


Πηγές
1) https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
2) https://access.redhat.com/articles/1200223
3) http://www.volexity.com/blog/?p=19