banner

SSS REVOLUTION [S]HELSHOCK,[S]SLV3 POODLE ATTACK Y [S]ANDWORM


Estaba yo desempolvando el teclado cuando en un abrir y cerrar de ojos, aparecen las [SSS] como si de la santísima trinidad se tratase, primero Shellshock, despues Sandworm (0-day en sistemas Windows )y ahora cifrado SSLv3, si juntas las tres vulnerabilidades se da el apocalisis de Internet, de hecho casi poco ese título en lugar del actual, pero entonces parecería un Blog con tintes religiosos, y no quisiera yo que eso ocurriese, aunque ya haya hecho una mención nada más empezar a teclear.

Vamos al lió, y en este artículo solamente describir que ha ocurrido o esta ocurriendo en el mundo de la Seguridad e Internet, pero sin entrar en tecnicismos, que de eso hay para rato indexado en Google.


¿De que se trata? 

Obtener una shell (bash) remota en servidores Linux que tengan una versión de bash vulnerable (interprete de línea de comandos más común).

Una vez que sabemos de que se trata, vamos a comprobar si estamos o no afectados por dicha vulnerabilidad, para ello se ha creado una web https://shellshocker.net/ donde podrás poner a prueba tu servidor y comprobar si estas o no afectado.


Puedes hacer la prueba:

curl https://shellshocker.net/shellshock_test.sh | bash
Si no te fias de utilizar la URL anterior puedes ejecutar directamente en el terminal de consola los siguientes comandos: 

Exploit 1 (CVE-2014-6271)

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Si obtienes "vulnerable" entonces actualiza "bash" now !

Exploit 2 (CVE-2014-7169)

env X='() { (shellshocker.net)=>\' bash -c "echo date"; cat echo; rm ./echo
Si tiene como resultado la fecha actual (current date) entonces eres vulnerable. Update bash now!

Exploit 3 (CVE-2014-7186)

bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' ||
echo "CVE-2014-7186 vulnerable, redir_stack"
Si eres vulnerable el sistema escribirá CVE-2014-7186 vulnerable, redir_stack.


Exploit 4 (CVE-2014-7187)

(for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in {1..200} ; do echo done ; done) | bash ||
echo "CVE-2014-7187 vulnerable, word_lineno"
Si el resultado mostrado es CVE-2014-7187 vulnerable, word_lineno, eres vulnerable.


Exploit 5 (CVE-2014-6278)

shellshocker='() { echo Eres vulnerable; }' bash -c shellshocker
Si obtienes "Eres vulnerable" entonces actualiza!.

Exploit 6 (CVE-2014-6277)

bash -c "f() { x() { _;}; x() { _;} <<a; }" 2>/dev/null || echo vulnerable
Si obtiene el resultado de "vulnerable" entonces actualiza inmediatamente.

PENTESTING

Cuatro nuevos módulos para #Metasploit que sirven para probar y explotar la vulnerabilidad de los servidores copn ShellShock. [Se necesita actualizar metasploit para que estén disponibles].
  • auxiliary/scanner/http/apache_mod_cgi_bash_env.rb
  • auxiliary/server/dhclient_bash_env.rb
  • exploits/multi/http/apache_mod_cgi_bash_env_exec.rb
  • exploits/osx/local/vmware_bash_function_root.rb
Ahora pensar, que puede hacer utilizando SHODAN para detectar sistemas LINUX potencialmente vulnerables conectados directamente a Internet.

[S]ANDWORM CVE-2014-4114

El denomino llama a tu puerta, con una vulnerabilidad 0-Day que afecta a todas las versiones de Microsoft Windows y que ayer martes (14/10/2014) se distribuyeron las actualizaciones de seguridad sobre todos los sistemas Windows (salvo XP, por estar fuera de soporte).



Sandworm es un virus dirigido a entidades gubernamentales en especial departamentos de Seguridad y Defensa, (OTAN/EU/USA). Este virus se introducía en las agencias gubernamentales gracias a las vulnerabilidades 0-Day en los sistemas operativos Windows.

[S]SLv3 POODLE ATTACK

Investigadores de Google, descubren esta grabe vulnerabilidad en el protocolo SSLv3 (https://www.openssl.org/~bodo/ssl-poodle.pdf) la solución pasa por utilizar solamente TLS! Deshabilitar SSL en nuestra navegadores!

¿Qué es POODLE?

POODLE ("Padding Oracle On Downgraded Legacy Encryption") basa su ataque sobre el modo CBC (Cifrado por bloques) lo que hace que este modo sea vulnerable a un ataque variante de Padding Oracle. La alternativa a CBC es usar un cifrado por flujo, RC4, pero este último ya fue condenado al destierro. En marzo de 2013 se publicó un ataque que permitía recuperar componentes de un mensaje cifrado con RC4 si estos componentes se repetían con cierta frecuencia. Pensemos en una cookie de sesión dentro de un mensaje HTTP. [HISPASEC]

¿Somos vulnerables?

Entra en la siguiente WEB para detectar si tu navegador es vulnerable a SSLv3 (es decir, tiene habilitado el utilizar SSLv3).



Deshabilitar SSLv3 en Google Chrome

Debes de iniciar Google Chrome con un argumento "--ssl-version-min=tls 1"




Hasta aquí mi vuelta a la actividad! Espero que no pase mucho tiempo hasta mi proximo artículo.
Gracias por seguir ahí! Gracias a todos.

#ST2Labs
@st2labs
@rhodius
@seguridadxato2

Enlaces:_
[1] http://www.isightpartners.com/2014/10/cve-2014-4114/
[2] http://www.theregister.co.uk/2014/10/14/isight_microsoft_announce_windows_and_windows_server_0day/
[3] https://shellshocker.net/
[4] http://www.n1tr0g3n.com/?p=6121
[5] http://unaaldia.hispasec.com/2014/10/ssl-tocado-y-hundido.html
[6] https://isc.sans.edu/diary/SSLv3+POODLE+Vulnerability+Official+Release/18827

No hay comentarios :

Publicar un comentario