Shellshock: Como proteger seus servidores Unix, Linux e Mac

A única coisa que você tem a temer com; Shellshock, a falha de segurança Unix / Linux Bash, é o próprio medo. Sim, Shellshock pode servir como uma estrada para worms e malwares para bater seus servidores UNIX, Linux e Mac, mas você pode se defender contra ele.

No entanto, Shellshock não é tão mau como; heartbleed. Ainda não, de qualquer maneira.

Embora seja verdade que o shell Bash é o interpretador de comandos padrão na maioria dos sistemas Unix e Linux e todos os Macs – a maioria dos servidores Web – para um atacante para chegar ao seu sistema, tem que haver uma maneira para que ele ou ela para realmente chegar para o shell remotamente. Então, se você estiver executando um PC sem ssh, rlogin, ou outro programa de desktop remoto, provavelmente você está seguro o suficiente.

Um problema mais sério é enfrentado por dispositivos que usam Linux embarcado – tais como roteadores, switches e dispositivos. Se você estiver executando um modelo mais antigo, já não é suportado, pode ser quase impossível de corrigir isso e provavelmente será vulnerável a ataques. Se for esse o caso, você deve substituir o mais rapidamente possível.

O perigo real e presente é para servidores. De acordo com o Instituto Nacional de Padrões (NIST), a pontuação Shellshock um perfeito 10 para o potencial de impacto e de exploração. Red Hat informa que os vetores de ataque mais comuns são

Tanto para os pensamentos da Red Hat. Destes, os servidores Web e SSH são os que me preocupam mais. O cliente DHCP também é problemático, especialmente se, como o caso de pequenas empresas, o roteador externo funciona como seu gateway de Internet e um servidor DHCP.

Destes, os ataques do servidor Web parece ser o mais comum, de longe. Como Florian Weimer, um engenheiro de segurança Red Hat, escreveu: “solicitações HTTP para scripts CGI foram identificados como o principal vetor de ataque.” Os ataques estão sendo feitas contra sistemas; rodando Linux e Mac OS X.

Jaime Blasco, diretor laboratórios em AlienVault, uma empresa de serviços de gerenciamento de segurança, correu um honeypot à procura de atacantes e encontrou “várias máquinas tentando explorar a vulnerabilidade Bash. A maioria deles só são sondagem para verificar se os sistemas são vulneráveis. Por outro lado , encontramos dois vermes que estão explorando ativamente a vulnerabilidade e instalar um malware no sistema “.

Outros pesquisadores de segurança descobriram que o malware é o tipo de costume. Eles normalmente tentar plantar distribuído de negação de serviço (DDoS) bots IRC e tentar adivinhar logins e senhas do sistema usando uma lista de senhas pobres, como ‘root’, ‘admin’, ‘user’, ‘login’ e ‘123456.

Então, como você sabe se seus servidores podem ser atacados? Em primeiro lugar, é preciso verificar para ver se você estiver executando uma versão vulnerável do Bash. Para isso, execute o seguinte comando a partir de um shell Bash

env x = ‘(); echo vulnerável “do bash -c” echo este é um teste

Se você obter o resultado

vulnerável este é um teste

Más notícias, a sua versão do Bash pode ser cortado. Se você ver

bash: aviso: x: ignorando definição de função tentativa bash: erro ao importar definição de função para `x ‘este é um teste

Voce é bom. Bem, para ser mais exato, você está tão protegido como você pode ser no momento.

httpd (seu servidor Web): CGI scripts de [interface de gateway comuns] são provavelmente afectados por este problema: quando um script CGI é executado pelo servidor web, ele usa variáveis ​​de ambiente para passar dados para o script. Estas variáveis ​​de ambiente podem ser controlados pelo atacante. Se o script CGI chama Bash, o script possa executar código arbitrário como o usuário httpd. mod_php, mod_perl e mod_python não usar variáveis ​​de ambiente e acreditamos que eles não são afetados; Secure Shell (SSH):. Não é incomum para restringir comandos remotos que um usuário pode executar via SSH, como rsync ou git. Nesses casos, este problema pode ser usado para executar qualquer comando, não apenas o comando restrito; dhclient:. O Dynamic Host Configuration Protocol Cliente (dhclient) é usado para obter automaticamente as informações de configuração de rede via DHCP. Este cliente utiliza várias variáveis ​​de ambiente e executa Bash para configurar a interface de rede. Conectando a um servidor DHCP mal-intencionado poderia permitir que um invasor executar código arbitrário na máquina do cliente; CUPS (Linux, Unix e servidor de impressão do Mac OS X):. Acredita-se que CUPS é afetada por este problema. Vários valores fornecidos pelo usuário são armazenados em variáveis ​​de ambiente quando os filtros copos são executados; sudo:. Comandos executados via sudo não são afectados por este problema. Sudo olha especificamente para as variáveis ​​de ambiente que também são funções. Ainda pode ser possível para o comando em execução para definir uma variável de ambiente que poderia causar um processo filho Bash para executar código arbitrário; Firefox:. Nós não acreditamos que o Firefox pode ser forçado para definir uma variável de ambiente de uma forma que permitiria Bash para executar comandos arbitrários. É ainda aconselhável para atualizar Bash como é comum para instalar vários plug-ins e extensões que poderiam permitir que este comportamento; Postfix:. O servidor Postfix [mail] irá substituir vários personagens com um ?. Enquanto o servidor Postfix põe Bash em uma variedade de maneiras, não acreditamos que uma variável de ambiente arbitrária pode ser definido pelo servidor. No entanto, é possível que um filtro pode definir variáveis ​​de ambiente.

Por que muitas placas de deixar a segurança de TI principalmente para técnicos de segurança, e por techies não consegue convencer seus conselhos para passar escasso dinheiro na proteção das informações das partes interessadas? Oferecemos orientação sobre como fechar a lacuna de governança de segurança de TI.

Enquanto todos os principais distribuidores de Linux lançaram patches que parar a maioria dos ataques – a Apple não lançou um patch ainda – descobriu-se que “os patches enviados para este problema são incompletos Um atacante pode fornecer variáveis ​​de ambiente especialmente criados que contenham comandos arbitrários que serão. executado em sistemas vulneráveis ​​sob certas condições. ” Embora não esteja claro se esses ataques podem ser usados ​​para invadir um sistema, é claro que eles podem ser usados ​​para bater-los, graças a uma exceção null-pointer.

Patches para preencher o último da falha de segurança Shellshock estão sendo trabalhadas agora. Enquanto isso, você deve atualizar os seus servidores o mais rapidamente possível com os patches disponíveis e manter um olho aberto para as próximas, mais cheios.

Nesse meio tempo, se, como é provável, você está executando o servidor Web Apache, existem algumas regras mod_security que podem parar tentativas de explorar Shellshock. Essas regras, criadas pela Red Hat, são

Primeiros ataques usando Bash ‘shellshock’ bug descoberto; Unix / Linux Bash: falha de segurança crítica descoberto; New OpenSSL violação há heartbleed, mas precisa ser levado a sério; heartbleed: pior hora da Open source; quão seguro é o seu escudo? Em muitas empresas, não muito

Inovação;? Mercado M2M salta para trás no Brasil; Segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; Segurança; WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas; Segurança; Casa Branca nomeia primeiro Chefe Federal Information Security Officer

Os valores de cabeçalho de solicitação; SecRule REQUEST_HEADERS “^ \ (\) {” “fase: 1, negar id: 1000000, t: urldecode, Estado: 400, registro, msg: ‘CVE-2014-6271 – Bash Ataque

valores SERVER_PROTOCOL; SecRule REQUEST_LINE “\ (\) {” “fase: 1, negar id: 1000001, status: 400, registro, msg: ‘CVE-2014-6271 – Bash Ataque

GET / POST nomes; SecRule ARGS_NAMES “^ \ (\) {” “fase: 2, negar id: 1000002, t: urldecode, t: urlDecodeUni, status: 400, registro, msg: ‘CVE-2014-6271 – Bash Ataque

GET / POST valores; SecRule ARGS “^ \ (\) {” “fase: 2, negar id: 1.000.003, t: urldecode, t: urlDecodeUni, status: 400, registro, msg: ‘CVE-2014-6271 – Bash Ataque

Os nomes dos arquivos para uploads; SecRule FILES_NAMES “^ \ (\) {” “fase: 2, negar id: 1.000.004, t: urldecode, t: urlDecodeUni, status: 400, registro, msg: ‘CVE-2014-6271 – Bash Ataque

É vital que você corrigir seus servidores o mais rápido possível, mesmo com os atuais queridos, incompletas, e para definir as defesas em torno de seus servidores Web. Se você não fizer isso, você poderia vir trabalhar amanhã para encontrar seus computadores completamente comprometida. Até chegar lá e começar a remendar!

 histórias

? Mercado M2M salta para trás no Brasil

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas

Casa Branca nomeia primeiro Chief Information Security Officer Federal