Cerca nel blog

2014/10/14

MINI: OS X 10.9 vulnerabile a Shellshock tramite DNS reverse lookup

CVE-2014-3671: DNS Reverse Lookup as a vector for the Bash vulnerability (CVE-2014-6271 et.al.).

La vulnerabilità è risolta dalla patch (HT1222) del 29 settembre scorso.

Se qualcuno ha tempo di studiarsi l'advisory e chiarirne l'effettiva portata al di là degli entusiasmi degli appassionati di sicurezza, i commenti sono a sua disposizione.

7 commenti:

Palin ha detto...

Io capisco che basta creare una zona ad-hoc e far risolvere un'entry di questa zona (di solito tramite chiamata a un'immagine invisibile dentro una pagina web) per fare in modo che il resolver passi a bash il risultato della risoluzione, comprese le variabili d'ambiente.

Il record deve essere di tipo PTR (quindi tornare una stringa e non un ip), e su OSX funziona perché OSX usa le vecchie funzioni di BIND (mentre per esempio Linux usa quelle nuove che sono correttamente "protette")

Ora sarebbe interessante sapere se invece di un record PTR, comunque limitato, uso un record TXT che invece ha poche limitazioni!

Rigongia ha detto...

Da una veloce lettura (purtroppo sono in ufficio) mi pare di capire che la pericolosità di questo attacco sia legata a bash non patchata e al fatto che un attacco di questo tipo è difficilmente individuabile dai classici sistemi di rilevamento e prevenzione delle intrusioni essendo un metodo semi-passivo. In pratica l' idea è quella di inquinare i DNS con dei records che associno a qualche indirizzo IP una stringa che scateni il bug di bash. Poi bisogna indurre l' utente a fare una ricerca DNS non nel verso classico (da "www.google.com" a x.y.z.k ) ma nel verso contrario. Fattibile sicuramente, ma direi di rischio moderato in generale. Tieni presente che io sono un appassionato di sicurezza, ma non un esperto, per cui la mia opinione vale quel che vale

rico ha detto...

Anche Android, essendo basato su Linux, è potenzialmente vulnerabile allo shellshock.
Segnalo però che l'app CM security (scansiona le app in installazione) sembra aver messo una pezza al problema.

Palin ha detto...

@rico

Potenzialmente anche windows, basta installare bash :). Di solito però su android la shell di default è busybox.

rainbow ha detto...

La vulnerabilità esiste, ma poco sfruttabile (ad oggi) così come presentata:
i Record di tipo PTR non possono essere creati a volontà in internet, normalmente sono in gestione ai proprietari degli indirizzi ip (normalmente ISP).
Inoltre la richiesta di risoluzione inversa degli indirizzi ip (che appunto cercano i record PTR) non è molto diffusa nelle applicazioni, anche se sicuramente è presente in qualche automatismo del sistema operativo.

Per eseguire un attacco reale servirebbe:
-1 un bell'ISP cinese o russo (giusto per stare tranquilli) conpiacente che mi inserisca un bel record PTR di questo genere che inneschi una reverse shell in qualche modo (uno fra i mille possibili)
-2 forzare una risoluzione inversa sull'IP con il record PTR in questione (qui è necessario studiare il Sistema Operativo e capire quale richieste vengono fatte in automatico, ad esempio se alla ricezione di una mail, alla navigazione da Safari ecc...)
-3 il tutto dal sistema vulnerabile (non aggiornato)

la parte cmq sorprendente l'assurda semplicità dell'attacco, una volta risolto il punto 2.

Anonimo ha detto...

molto interessante!

Anonimo ha detto...

molto interessante!