shell-script-pt
[Top][All Lists]
Advanced

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [shell-script] Falha no Bash, "pior que o heartbleed"


From: Alexandre Mulatinho
Subject: Re: [shell-script] Falha no Bash, "pior que o heartbleed"
Date: Thu, 25 Sep 2014 11:57:03 -0300

Caro MrBits,

Participo dessa lista há pelo o menos cinco anos, e nunca quis aparecer aqui. O intuito em participar da discussão é porque eu li e testei alguns usos desse erro, sou linuxer desde 1999 e isso me preocupa demais porque sei que vários filhos da $#%@& vão falar um monte de asneiras do SO amado apartir de agora, já falaram depois do heartbleed mesmo vendo que no open source essas correções são descobertas e corrigidas muito mais rapidamente do que em outras plataformas.

Por favor leia os tweets desse "pequeno" especialista em segurança e tire suas próprias conclusões.

Link:
https://twitter.com/ErrataRob

Tem várias fotos e exemplos do que já está rolando.
​​
--
Alexandre Mulatinho
Weblog: http://alex.mulatinho.net
LinkedIn: http://br.linkedin.com/in/mulatinho

Em 25 de setembro de 2014 11:49, MrBiTs address@hidden [shell-script] <address@hidden> escreveu:
 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

On 09/25/2014 11:05 AM, Alexandre Mulatinho address@hidden [shell-script] wrote:
>
>
> Bom,
>
> Depois do acesso do MrBits podemos voltar a discutir o problema :P Hehehehe. A questão como ele falou é que existem pessoas
> que ainda rodam CGI chamando bash shell em pleno 2014 e são muitas, você poderia injetar coisas nas variáveis como por exemplo
> um simples 'cat /etc/passwd' afim de se saber os logins dos usuários na máquina remota, talvez para o MrBits isso pareça pouco
> mas não é.
>
> Também tem a questão de que o SSH aceita variáveis de ambientes quando loga remotamente, você também poderia injetar coisas aí,
> o httpd geralmente em quase todas as distribuições roda usando em cima do BASH e é possível colocar coisas em variáveis como
> User-Agent para rodar remotamente.
>
> Não bastasse isso aqui também tá rolando um segfault bonito, o que dá espaço pra criar um exploit buffer overflow e talvez até
> conseguir acesso remoto a máquina usando apenas "a besteira de um login" trazido olhando o passwd. Em pleno século XVI ainda
> tem gente que usa muita senha fraca.
>
> [24714.329514] bash[26859]: segfault at 0 ip 00000000004464d0 sp 00007fff68ddea80 error 4 in bash[400000+f0000] [25171.499120]
> bash[27939]: segfault at 0 ip 00000000004464d0 sp 00007fffc9586eb0 error 4 in bash[400000+f0000] [25173.635478] bash[27948]:
> segfault at 0 ip 00000000004464d0 sp 00007fff1ab7ffe0 error 4 in bash[400000+f0000] [25180.101048] bash[27962]: segfault at 0
> ip 00000000004464d0 sp 00007fff570501f0 error 4 in bash[400000+f0000] [25217.061149] bash[28051]: segfault at 0 ip
> 00000000004464d0 sp 00007fffb6f237b0 error 4 in bash[400000+f0000]
>
> Vamos esperar para vêr. O certo é que não acontece com o ZSH, KSH, etc.
>
> Só um exemplo: https://twitter.com/JZdziarski/status/515137615126081536/photo/1

Eu acho legal quando as pessoas se importam com o MrBiTs.

Pensando na 'aplicação' dessa falha, estamos falando basicamente de CGIs OU usuários que tem acesso a permissões do root E estão
sendo usados pelo webserver COM ENV em uso, ou talvez um ssh anônimo do tipo ssh address@hidden. De novo, se alguém faz isso
hoje, merece choques no mamilo esquerdo.

O inferno são os outros. Eu te passo meu /etc/passwd (te passo o /etc/shadow se você quiser) inteiro e você continua não
encostando nas minhas máquinas, porque não há primeiro permissões para um acesso SSH abertas para o mundo e depois porque as
aplicações que eu rodo passam por um crivo de segurança altíssimo. Se, no entanto, você dá acesso ao seu servidor assim, acho que
essa "vulnerabilidade" não deveria ser sua primeira preocupação. Deveria, sim, preocupar-se com o fato de que em pleno século XXI
(embora eu imagine que no século XVI as senhas também eram fracas, mas não sou tão velho assim...) as pessoas usam senhas fracas
e, mesmo que elas sejam fortes, ainda são bastante susceptíveis a ataques.

O que você quer dizer com "o httpd geralmente em quase todas as distribuições roda usando em cima do BASH"? Roda o que? PHP?
Python? O próprio processo? Se, novamente, for CGI, feliz 1999 para você. Cuidado porque o bug do milênio vai derrubar todos os
aviões do mundo.

Quanto ao segfault e explorar overflow, de novo não é preciso ter essa "vulnerabilidade" para gerar isso e explorar.

Infelizmente o exemplo no twitter, que eu imagino seria bastante elucidativo, não está disponível.

E, como comentado em outra mensagem, o bom mesmo foi ver o tempo de resposta dos desenvolvedores, já que às 9:00PM EDT já tinhamos
script para o metasploit explorando algumas coisas legais. A questão é saber se as pessoas que estejam efetivamente vulneráveis
(mostrar o exemplinho dizendo 'vulnerable' quer dizer nada) farão as atualizações que precisam, não só do Bash mas também de tudo
o mais que for vulnerável, inclusive as pessoas.

Quer realmente ler uma discussão de nível interessantíssimo sobre? https://news.ycombinator.com/item?id=8361574
Aqui vai o script do MS: http://www.exploit-db.com/exploits/34777/
E aqui tem um bonitinho: http://www.exploit-db.com/exploits/34766/

Esse último, inclusive, é bastante educativo. Veja a necessidade de termos um CGI utilizando bash e pressupondo todo um servidor
configurado para poder rodar esse cara.

- --
echo
920680245503158263821824753325972325831728150312428342077412537729420364909318736253880971145983128276953696631956862757408858710644955909208239222408534030331747172248238293509539472164571738870818862971439246497991147436431430964603600458631758354381402352368220521740203494788796697543569807851284795072334480481413675418412856581412376640379241258356436205061541557366641602992820546646995466P
| dc

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBCAAGBQJUJCuHAAoJEG7IGPwrPKWrt0wH/iQA3fkESrDwcAHqfTyt6C0Z
gP096v1CmKAu7dfrNR/6rY8Jn6axg0mPpHtlRvqL+2E69NeDrO1QJ6DNLv6aTq8w
BRDy0moZst93afz3D9Z4gAKdeBWUJ1tk2H7q5CGovR21G5cpba9nl3Rnz4gHW9xK
BUk57zvL381appqTiHU35wuHesrq817hdLAWVU/gmb6tTL8GkMb7NI/zENswpK7+
SPnvB8XeljI3v+vh5AmhOLmynZ6eXJmnjC+hEsXSPf/t9F/zI3sj91Cekubfm660
p/WaPnpZxF4KsMwz4daWnQcwva5MS1YFwTT4GORkCiBWMkIG922WXlN3yzW79i4=
=XkW2
-----END PGP SIGNATURE-----



reply via email to

[Prev in Thread] Current Thread [Next in Thread]