ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-09-25

bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた

| 11:30 |  bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみたを含むブックマーク

bash脆弱性が確認されたとして騒ぎになっています。ここではCVE-2014-6271に関する情報をまとめます。

#記載内容について、誤っている、追記した方がいい等情報がございましたら@piyokangoまでご連絡お願いします。

脆弱性情報

脆弱性の愛称
  • ShellShock
  • Bashbug
CVE番号

Bash周りで発行されているCVEは6つ。その内詳細が不明なのが2つ。(CVE-2014-6277,CVE-2014-6278)

CVE発見者想定脅威特記
CVE-2014-6271Stephane Chazelas氏任意のコード実行ShellShockの発端となったバグ
CVE-2014-7169Tavis Ormandy氏任意のコード実行CVE-2014-6271修正漏れによる脆弱性
CVE-2014-7186RedhatDoSメモリ破壊(Out-of-Bounds Read)の脆弱性
CVE-2014-7187RedhatDoSoff-by-oneエラーの脆弱性
CVE-2014-6277Michal Zalewski氏任意のコード実行信頼されていないポインタの使用(詳細不明)
CVE-2014-6278Michal Zalewski氏任意のコード実行特別に細工された環境変数の参照(詳細不明)
JVN
GNU bash パッチ情報

f:id:Kango:20141003201537p:image:w640

CVE-2014-6271
Fixed Patch
BASH PATCH REPORT bash205b-008
BASH PATCH REPORT bash30-017
BASH PATCH REPORT bash31-018
BASH PATCH REPORT bash32-052
BASH PATCH REPORT bash40-039
BASH PATCH REPORT bash41-012
BASH PATCH REPORT bash42-048
BASH PATCH REPORT bash43-025
CVE-2014-7169
Fixed Patch
BASH PATCH REPORT bash205b-009
BASH PATCH REPORT bash30-018
BASH PATCH REPORT bash31-019
BASH PATCH REPORT bash32-053
BASH PATCH REPORT bash40-040
BASH PATCH REPORT bash41-013
BASH PATCH REPORT bash42-049
BASH PATCH REPORT bash43-026
CVE-2014-6277
CVE-2014-6278
Mitigated Patch
BASH PATCH REPORT bash205b-010
BASH PATCH REPORT bash30-019
BASH PATCH REPORT bash31-020
BASH PATCH REPORT bash32-054
BASH PATCH REPORT bash40-041
BASH PATCH REPORT bash41-014
BASH PATCH REPORT bash42-050
BASH PATCH REPORT bash43-027
CVE-2014-7186
CVE-2014-7187
Fixed Patch
BASH PATCH REPORT bash205b-011
BASH PATCH REPORT bash30-020
BASH PATCH REPORT bash31-021
BASH PATCH REPORT bash32-055
BASH PATCH REPORT bash40-042
BASH PATCH REPORT bash41-015
BASH PATCH REPORT bash42-051
BASH PATCH REPORT bash43-028
CVE-2014-6277
Fixed Patch
BASH PATCH REPORT bash205b-012
BASH PATCH REPORT bash30-021
BASH PATCH REPORT bash31-022
BASH PATCH REPORT bash32-056
BASH PATCH REPORT bash40-043
BASH PATCH REPORT bash41-016
BASH PATCH REPORT bash42-052
BASH PATCH REPORT bash43-029

ShellShockの対応フロー

f:id:Kango:20140926003302p:image:w500

ShellShockの影響が及ぶケース
回避策の詳細
注意喚起

脆弱性検証コード

簡易チェック(CVE-2014-6271/CVE-2014-7169)

以下のコマンドを実行して「vulnerable」が表示された場合、脆弱性の影響を受ける可能性がある。

CVEPoC
CVE-2014-6271env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
CVE-2014-7169env x='() { (a)=>\' bash -c "echo echo vulnerable"; cat echo
CVE-2014-7186bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' || echo "vulnerable" </td>
CVE-2014-7187(for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in {1..200} ; do echo done ; done) | bash || echo "vulnerable"
CVE-2014-6277未入手
CVE-2014-6278env x='() { _;}>_[$[$())] { echo vulnerable; }' bash -c "echo test"
  • CVE-2014-7187はpiyokango環境だと何故か成功せず、、。
  • 9/30修正 CVE-2014-6277,CVE-2014-6278のPoCを当初掲載しておりましたが、この脆弱性のPoCではありませんでした。
  • CVE-2014-7169は修正済みのバージョンで実行した場合「echo vulnerable」と表示されます。
NSE
w3af
Metasploit
Bashcheck

ディストリデフォルトシェル

ディストリデフォルトシェル
Mac OSXbash
RHELbash
CentOSbash
Fedorabash
Debiansh(lenny)
dash(Squeeze)
Ubuntudash
FreeBSDtcsh
Androidsh

WAF/IDS/IPSの対応

ベンダ対応状況
SnortVRT Rules 2014-09-24
VRT Rules 2014-09-25
Symantec27907 - OS Attack: GNU Bash CVE-2014-6271
TrendMicroDSRU14-028(DPI)
1618 - Shellshock HTTP REQUEST(DDI)
IMPERVAImperva Security Response for CVE-2014-6271 (AKA ”Shellshock”)
SSTbashの脆弱性について
CheckpointCPAI-2014-1846
Barracudasecdef 2.1.14182
Paloalto36729
HPHP TippingPoint Filter
16800, 16806(CVE-2014-6271)
16807, 16808(CVE-2014-7169)
Fortigate5.552
Vulnerability: Bash.Function.Definitions.Remote.Code.Execution
IBMXPU 34.091
VMwareVMSA-2014-0010.2

ShellShockの探索・攻撃行為に関係する情報

Tokyo SOCでは、先日公開された bash脆弱性 (CVE-2014-6271等) を悪用する攻撃(“ShellShock“攻撃)[1]が開始されていることを確認しています。 それらの攻撃の中でも、特に注目すべき点として、DoS 攻撃等を行う不正なプログラムサーバー上へ設置することを目的とした攻撃を確認しています。 https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/shellshock201409?lang=ja

BashExploitの試行元アドレス
23.235.43.21
23.235.43.23
23.235.43.25
23.235.43.27
23.235.43.29
23.235.43.31
24.251.197.244
54.228.25.245
75.127.84.182
82.118.242.223
106.185.25.239 (www.0rz.it)
89.207.135.125
108.174.50.137
122.226.223.69
128.199.216.68
166.78.61.142
198.58.106.99
201.67.234.45
209.126.230.72
BashExploitによる接続先情報
24.251.197.244
101.55.120.234
103.25.56.88
104.131.0.69
118.99.61.15
176.99.6.189:3128
198.101.206.138
198.206.15.239
209.126.230.74
216.75.60.74
antalos.com
panhandlenursing.org
psicologoweb.net
singlesaints.com
shellshock.detectify.com
shellshock.brandonpotter.com
pwn.nixon-security.se
vk.websecurelogin.com
web5.mooo.com
www.k2proxy.com
ytcracker.com
ShellShockマルウェア
Type検体名通信先サンプルHash
BashExploit(CVE-2014-6271)
Linux Backdoor
Linux/Wopbot(McAfee)
ELF_BASHLITE.A (TrendMicro)
ELF_FLOODER.W (TrendMicro)
ELF_BASHLITE.SM (TrendMicro)
ELF_BASHLET.A (TrendMicro)
162.253.66.76
162.253.66.76:53
27.19.159.224:4545
89.238.150.154:5
108.162.197.26
213.5.67.223
0229e6fa359bce01954651df2cdbddcdf3e24776
96498e53200cfb3947cbd5357f6833a1d0605360
BotPERL_SHELLBOT.CE (TrendMicro)
PERL_SHELLBOT.WZ (TrendMicro)
us.bot.nu:5190
fbi.bot.nu:5190
MacOSX PayloadBackdoor:OSX/Tsunami.A (F-Secure)
OSX/Tsunami (McAfee)
e75b8133404dcea606a04a8e4c03b0af8bec6d22

検証/対策記事

ShellShock Demo

セキュリティ関係組織の記事

日本語記事
英語記事

一般報道

謝辞

  • このまとめは次の方の情報を元に追記、修正を行っています。ありがとうございます。
    • @y_kareさん
    • @axfantasiaさん
    • @Sheileさん
    • @miau_jpさん
    • @sknnさん
    • @kensukesanさん
    • @vulcainさん
    • @igrepさん

更新履歴

  • 2014/09/25 AM 新規作成
  • 2014/09/25 PM 関連Tweetを整理(更新前魚拓)
  • 2014/09/27 GUN ProjectからCVE-2014-7169の修正を行ったパッチが公開されたので反映
  • 2014/10/12 PM webmin関係の記事を追記