29 Setembro/2014

Falha crítica no Bash (ShellShock)

OBSERVAÇÃO: O conteúdo desse site foi baseado do site do CAIS/RNP.

Fonte: http://www.rnp.br/sites/default/files/cais-alerta-bash-1.pdf

Alertamos sobre uma recente vulnerabilidade de exploração remota presente no Bash, nas versões 4.3 e anteriores.

A vulnerabilidade no Bash identificada no dia 24/09/2014 permite que qualquer usuário na internet através de interação com CGI ou funções de linguagens interpretadas que permitam comandos no bash, podem explorar facilmente essa vulnerabilidade.

Identificador CVE: CVE-2014-6271

Vetores de ataque

  • Servidor Apache HTTP utilizando script mod_cgi ou mod_cgid escritos e interpretados por bash, executados via subshell GNU Bash ou em qualquer outro sistema onde tenha sua interface implementada usando GNU Bash.
  • Ignorar a funcionalidade de segurança ForceCommand no OpenSSH sshd e proteções limitidas de implementações do Git e Subversion usadas para restringir a shell, assim como permite comandos arbitrários.
  • Permiter comandos arbitrários para executar em máquinas clientes do DHCP.

Impacto

Um usuário mal intencionado poderia executar remotamente comandos arbitrários contra uma aplicação web que execute scripts CGI, por exemplo, ou contra sessões SSH em casos específicos.

Até a divulgação deste alerta, existem relatos de exploração da vulnerabilidade no Bash.

Verificação

Para verificar se o seu ambiente está vulnerável, execute:

env x='() { :;}; echo vulneravel' bash -c "echo isto e um teste"

Se a saída for:

vulnerável
isto é um teste

O sistema está vulnerável.

Caso a saída seja:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
isto é um teste

O sistema não está vulnerável.

Versões afetadas

Todas as versões anteriores do GNU BASH, inclusive, a 4.3.

Como corrigir

Servidores

Para corrigir a vulnerabilidade identificada você deve atualizar o seu bash para versão mais nova. Segue abaixo as versões não vulneráveis em diversas distribuições e suas respectivas versões:

Debian

  • Squeeze: 4.1-3+deb6u2
  • Wheezy: 4.2+dfsg-0.1+deb7u3

Fonte: CVE-2014-6271 Debian

Suse

  • SUSE Linux Enterprise Server 11 SP3 LTSS: 3.2-147.22.1
  • SUSE Linux Enterprise Server 11 SP2 LTSS: 3.2-147.14.20.1
  • SUSE Linux Enterprise Server 11 SP1 LTSS: 3.2-147.14.20.1
  • SUSE Linux Enterprise Server 10 SP4 LTSS for x86: 3.1-24.34.1
  • SUSE Linux Enterprise Server 10 SP3 LTSS for AMD64 and Intel EM64T?: 3.1-24.32.1

Fonte: CVE-2014-6271 Novell

Redhat

  • Red Hat Enterprise Linux 7: 4.2.45-5.el7
  • Red Hat Enterprise Linux 6: 4.1.2-15.el6
  • Red Hat Enterprise Linux 5: 3.2-33.el5
  • Red Hat Enterprise Linux 4: 3.0-27.el4.4

Fonte: CVE-2014-6271 RedHat

Apple

http://support.apple.com/kb/HT1222

Outros ativos de rede

Para corrigir a vulnerabilidade identificada você deve atualizar o seu bash para versão mais nova. Entre em contato com o fornecedor do hardware, afim de obter o procedimento correto de atualização. Segue abaixo algumas notificações dos principais fornecedores de ativo de rede:

Cisco

De acordo com sua nota, alguns equipamentos estão vulneráveis e devem ser atualizados.

De acordo com sua nota, até o presente momento não apresenta equipamentos vulneráveis;

Extreme Networks

De acordo com sua nota, alguns equipamentos estão vulneráveis e devem ser atualizados.

Juniper

De acordo com sua nota, alguns equipamentos estão vulneráveis e devem ser atualizados.

VMware

De acordo com sua nota, as versõs ESX 4.0 e 4.1 estão vulneráveis e devem ser atualizados.

Outros

Temos uma imensa lista que informa quais fornecedores estão com equipamentos vulneráveis ou não. Por favor consulte essa lista para verificar se seus fornecedores constam como afetados e atualize seus equipamentos.

Mais informações

Recomendamos que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.