CSIRT Panamá Aviso 2014-09- Ejecución de Código Remoto en Bash
(CVE-2014-6271 | CVE-2014-6277 | CVE-2014-6278 | CVE-2014-7169 | CVE-2014-7186 | CVE-2014-7187)
Gravedad: ALTA
Fecha de publicación: Septiembre 30, 2014
Fecha de modificación: Septiembre 30, 2014
Última revisión: Revisión A.
Sistemas afectados
Sistemas que utilizan GNU Bash desde la versión 1.14.0 hasta la versión 4.3.
I. Descripción
Se ha descubierto una vulnerabilidad crítica en los sistemas que utilizan el intérprete de comandos GNU Bash desde la versión 1.14.0 hasta la versión 4.3 (comúnmente utilizada en sistemas operativos basados en UNIX). La vulnerabilidad permite al atacante ejecutar remotamente instrucciones de consola a través de la declaración de variables de entorno del sistema.
Las instancias en donde se ha descubierto que la vulnerabilidad puede ser explotada son:
- Servidores HTTP Apache que utilizan scripts de tipo mod_cgi o mod_cgid o cualquier que utilice una interfaz /bin/sh implementada en GNU Bash.
- Algunos clientes DHCP.
- Servidores OpenSSH que utilicen ForceCommand en sus implementaciones.
II. Impacto
Vector de acceso: A través de red.
Complejidad de Acceso: Baja.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso total de la integridad del sistema, Compromiso total de la disponibilidad del sistema, Compromiso total de la confidencialidad del sistema
III. Detección
Para determinar que un sistema es vulnerable puede ejecutar la siguiente instrucción:
# env VAR=’() { :; } ; echo Vulnerable’ bash –c ‘echo Completado’
III. Mitigación
Actualizar el software
Se recomienda actualizar a la última versión de GNU Bash.
Las distribuciones más populares de sistemas basados en Linux ya han publicado actualizaciones por ejemplo:
- Red Hat Enterprise Linux (versión 4 a 7)
- Fedora
- CentOS
- Ubuntu 10.04 LTS, 12.04 LTS, 14.04 LTS
De igual forma se recomienda a los administradores de sistema revisar los parches ofrecidos por sus proveedores, en caso tal de que utilice algún equipo que reúna las características mencionadas anteriormente.
IV. Información adicional
[1] http://www.fireeye.com/blog/technical/2014/09/shellshock-in-the-wild.html
[2] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271
[3] http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/
[4] http://www.elladodelmal.com/2014/09/shellshock-puede-afectar-tu-web-tu.html
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: https://www.cert.pa
—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v2.0.17 (MingW32)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=JUYg
—–END PGP PUBLIC KEY BLOCK—–