skip to main | skip to sidebar
7 commenti

MINI: OS X 10.9 vulnerabile a Shellshock tramite DNS reverse lookup

CVE-2014-3671: DNS Reverse Lookup as a vector for the Bash vulnerability (CVE-2014-6271 et.al.).

La vulnerabilità è risolta dalla patch (HT1222) del 29 settembre scorso.

Se qualcuno ha tempo di studiarsi l'advisory e chiarirne l'effettiva portata al di là degli entusiasmi degli appassionati di sicurezza, i commenti sono a sua disposizione.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (7)
Io capisco che basta creare una zona ad-hoc e far risolvere un'entry di questa zona (di solito tramite chiamata a un'immagine invisibile dentro una pagina web) per fare in modo che il resolver passi a bash il risultato della risoluzione, comprese le variabili d'ambiente.

Il record deve essere di tipo PTR (quindi tornare una stringa e non un ip), e su OSX funziona perché OSX usa le vecchie funzioni di BIND (mentre per esempio Linux usa quelle nuove che sono correttamente "protette")

Ora sarebbe interessante sapere se invece di un record PTR, comunque limitato, uso un record TXT che invece ha poche limitazioni!
Da una veloce lettura (purtroppo sono in ufficio) mi pare di capire che la pericolosità di questo attacco sia legata a bash non patchata e al fatto che un attacco di questo tipo è difficilmente individuabile dai classici sistemi di rilevamento e prevenzione delle intrusioni essendo un metodo semi-passivo. In pratica l' idea è quella di inquinare i DNS con dei records che associno a qualche indirizzo IP una stringa che scateni il bug di bash. Poi bisogna indurre l' utente a fare una ricerca DNS non nel verso classico (da "www.google.com" a x.y.z.k ) ma nel verso contrario. Fattibile sicuramente, ma direi di rischio moderato in generale. Tieni presente che io sono un appassionato di sicurezza, ma non un esperto, per cui la mia opinione vale quel che vale
Anche Android, essendo basato su Linux, è potenzialmente vulnerabile allo shellshock.
Segnalo però che l'app CM security (scansiona le app in installazione) sembra aver messo una pezza al problema.
@rico

Potenzialmente anche windows, basta installare bash :). Di solito però su android la shell di default è busybox.
La vulnerabilità esiste, ma poco sfruttabile (ad oggi) così come presentata:
i Record di tipo PTR non possono essere creati a volontà in internet, normalmente sono in gestione ai proprietari degli indirizzi ip (normalmente ISP).
Inoltre la richiesta di risoluzione inversa degli indirizzi ip (che appunto cercano i record PTR) non è molto diffusa nelle applicazioni, anche se sicuramente è presente in qualche automatismo del sistema operativo.

Per eseguire un attacco reale servirebbe:
-1 un bell'ISP cinese o russo (giusto per stare tranquilli) conpiacente che mi inserisca un bel record PTR di questo genere che inneschi una reverse shell in qualche modo (uno fra i mille possibili)
-2 forzare una risoluzione inversa sull'IP con il record PTR in questione (qui è necessario studiare il Sistema Operativo e capire quale richieste vengono fatte in automatico, ad esempio se alla ricezione di una mail, alla navigazione da Safari ecc...)
-3 il tutto dal sistema vulnerabile (non aggiornato)

la parte cmq sorprendente l'assurda semplicità dell'attacco, una volta risolto il punto 2.
molto interessante!
molto interessante!