SSS REVOLUTION [S]HELSHOCK,[S]SLV3 POODLE ATTACK Y [S]ANDWORM

Estaba yo desempolvando el teclado cuando en un abrir y cerrar de ojos,

aparecen las [SSS] como si de la santísima trinidad se tratase,

primero Shellshock, despues Sandworm (0-day en sistemas Windows )y ahora

cifrado SSLv3, si juntas las tres vulnerabilidades se da el apocalisis

de Internet, de hecho casi poco ese título en lugar del actual, pero

entonces parecería un Blog con tintes religiosos, y no quisiera yo que

eso ocurriese, aunque ya haya hecho una mención nada más empezar a

teclear.

Vamos al lió, y en este artículo solamente describir que ha ocurrido o

esta ocurriendo en el mundo de la Seguridad e Internet, pero sin entrar

en tecnicismos, que de eso hay para rato indexado en Google.

**<span

style=“background-color: red;“>[S]HELLSHOCK** (CVE-2014-6271,

¿De que se trata?

Obtener una shell (bash) remota en servidores Linux que tengan una

versión de bash vulnerable (interprete de línea de comandos más común).

Una vez que sabemos de que se trata, vamos a comprobar si estamos o no

afectados por dicha vulnerabilidad, para ello se ha creado una

web https://shellshocker.net/ donde podrás poner a prueba tu servidor

y comprobar si estas o no afectado.

Puedes hacer la prueba:

curl https://shellshocker.net/shellshock_test.sh | bash

Si no te fias de utilizar la URL anterior puedes ejecutar directamente

en el terminal de consola los siguientes comandos:

**Exploit 1

(CVE-2014-6271)**

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Si obtienes “vulnerable” entonces

actualiza “bash” now !

**Exploit 2

(CVE-2014-7169)**

env X='() { (shellshocker.net)=>\' bash -c "echo date"; cat echo; rm ./echo

Si tiene como resultado la fecha actual (current date) entonces eres

vulnerable. Update bash now!

**Exploit 3

(CVE-2014-7186)**

bash -c 'true <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF <<EOF' ||

echo "CVE-2014-7186 vulnerable, redir_stack"

Si eres vulnerable el sistema escribirá <span

style=“background-color: white; color: #333333; font-family: ‘Helvetica Neue Webfont’, ‘Helvetica Neue’, Helvetica, Arial, sans-serif; font-size: 14px; line-height: 20px;“>CVE-2014-7186

vulnerable, redir_stack.

**Exploit 4

(CVE-2014-7187)**

(for x in {1..200} ; do echo "for x$x in ; do :"; done; for x in {1..200} ; do echo done ; done) | bash ||

echo "CVE-2014-7187 vulnerable, word_lineno"

Si el resultado mostrado es <span

style=“background-color: white; color: #333333; font-family: ‘Helvetica Neue Webfont’, ‘Helvetica Neue’, Helvetica, Arial, sans-serif; font-size: 14px; line-height: 20px;“>CVE-2014-7187

vulnerable, word_lineno, eres vulnerable.

**Exploit 5

(CVE-2014-6278)**

<span

style=“background-color: white; color: #333333; font-family: ‘Helvetica Neue Webfont’, ‘Helvetica Neue’, Helvetica, Arial, sans-serif; font-size: 14px; line-height: 20px;“>

shellshocker='() { echo Eres vulnerable; }' bash -c shellshocker

Si obtienes “Eres vulnerable” entonces actualiza!.

**Exploit 6

(CVE-2014-6277)**

bash -c "f() { x() { _;}; x() { _;} <<a; }" 2>/dev/null || echo vulnerable

Si obtiene el resultado de “vulnerable” entonces actualiza

inmediatamente.

PENTESTING

Cuatro nuevos módulos para #Metasploit que sirven para probar y

explotar la vulnerabilidad de los servidores copn ShellShock. [Se

necesita actualizar metasploit para que estén disponibles].

auxiliary/scanner/http/apache_mod_cgi_bash_env.rb
auxiliary/server/dhclient_bash_env.rb
exploits/multi/http/apache_mod_cgi_bash_env_exec.rb
exploits/osx/local/vmware_bash_function_root.rb

Ahora pensar, que puede hacer utilizando SHODAN para detectar sistemas

LINUX potencialmente vulnerables conectados directamente a Internet.

<span

style=“background-color: red;“>[**<span

style=“background-color: red;“>S]ANDWORM**

CVE-2014-4114

El denomino llama a tu puerta, con una vulnerabilidad 0-Day que afecta a

todas las versiones de Microsoft Windows y que ayer martes (14/10/2014)

se distribuyeron las actualizaciones de seguridad sobre todos los

sistemas Windows (salvo XP, por estar fuera de soporte).

Sandworm es un

virus dirigido a entidades gubernamentales en especial departamentos de

Seguridad y Defensa, (OTAN/EU/USA). Este virus se introducía en las

agencias gubernamentales gracias a las vulnerabilidades 0-Day en los

sistemas operativos Windows.

**<span

style=“background-color: red;“>[S]SLv3 POODLE ATTACK**

Investigadores de Google, descubren esta grabe vulnerabilidad en el

protocolo SSLv3 (https://www.openssl.org/~bodo/ssl-poodle.pdf) la

solución pasa por utilizar solamente TLS! Deshabilitar SSL en nuestra

navegadores!

¿Qué es POODLE?

POODLE<span

style=“background-color: white; color: #222222; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18.4799995422363px;“> (”*Padding

Oracle On Downgraded Legacy Encryption*<span

style=“background-color: white; color: #222222; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18.4799995422363px;“>”)

basa su ataque sobre el modo CBC (Cifrado por bloques) lo que hace que

este modo sea vulnerable a un ataque variante de Padding Oracle. La

alternativa a CBC es usar un cifrado por flujo, RC4, pero este último ya

fue condenado al destierro. En marzo de 2013 se publicó un ataque que

permitía recuperar componentes de un mensaje cifrado con RC4 si estos

componentes se repetían con cierta frecuencia. Pensemos en una cookie de

sesión dentro de un mensaje HTTP. [HISPASEC]

¿Somos vulnerables?

Entra en la siguiente WEB para detectar si tu navegador es vulnerable a

SSLv3 (es decir, tiene habilitado el utilizar SSLv3).

https://www.poodletest.com/