Inyección remota de código en Bash

Fecha de publicación:

25/09/2014

Importancia:

5 - Crítica

Recursos afectados:

La vulnerabilidad afecta potencialmente a todos los sistemas que tengan Bash instalado. Se recomienda consultar las versiones afectadas para cada producto o distribución.

Descripción:

Stephane Chazelas ha descubierto una vulnerabilidad en el procesamiento de variables de entorno en el interprete de comandos Bash, común en sistemas Linux. Esta vulnerabilidad puede ser explotable de forma remota y podría permitir ejecución de código.

Solución:

Actualizar Bash a la versión recomendada por la distribución o producto correspondiente. En concreto:

Detalle:

La vulnerabilidad descubierta podría ser utilizada para ejecución remota de código, debido a que es común utilizar bash en background dentro de otros procesos. Esto se hace, por ejemplo, para el parseado de scripts CGI (utilizado por Apache, por ejemplo), o incluso ejecución de comandos (utilizado por git, entre otros).

El problema es debido a un incorrecto parseado de las variables de entorno, muchas veces utilizadas para controlar el comportamiento de scripts en Bash. Ya se han detectado escaneos en busca de este fallo, como indica la firma Volexity, que ha capturado peticiones GET con la siguiente construcción:

GET / HTTP/1.0
User-Agent: shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)
Accept: */*
Cookie: () { :; }; ping -c 17 209.126.230.74
Host:() { :; }; ping -c 23 209.126.230.74
Referer: () { :; }; ping -c 11 209.126.230.74

Se puede comprobar si un sistema es vulnerable con el comando:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Tras ejecutar este comando, un sistema vulnerable devuelve el siguiente resultado:

vulnerable
this is a test

La vulnerabilidad ha recibido el identificador CVE-2014-6271. Por otra parte, también se ha asignado el identificador CVE-2014-7169 a una corrección incompleta de esta vulnerabilidad por parte de Red Hat.

Actualización a 26/09/2014: Cisco ha publicado un aviso con sus productos afectados.

Actualización a 29/09/2014: Las siguientes compañías han publicado información relativa a sus productos afectados: F5, VMWare, Bluecoat, FortiGuard, Palo Alto Networks, IBM, Oracle.

Referencias:

Bash specially-crafted environment variables code injection attack

USN-2362-1: Bash vulnerability

DSA-3032-1 bash -- security update

Critical Bash updates for CentOS-5, CentOS-6, and CentOS-7

Suse/Novell: CVE-2014-6271

Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271)

GNU Bash Environmental Variable Command Injection Vulnerability

September 25, 2014 - GNU Bash Shellshock command injection (CVE-2014-6271)

VMware assessment of Bash Code Injection Vulnerability

Security Bulletin: GNU BASH vulnerabilities in IBM QRadar

CVE-2014-6271 Shellshocked

Bash Shell remote code execution (CVE-2014-6271) PAN-SA-2014-0004

Remote Exploit Vulnerability in Bash - (Shellshock)

Oracle Security Alert for CVE-2014-7169

Etiquetas:

Linux

Vulnerabilidad

Accesos corporativos

Inyección remota de código en Bash

Inyección de comandos en Altenergy Power System Control Software de APsystems

Credenciales por defecto en ABB RCCMD

Protección de credenciales insuficiente en KVMS Pro de CP Plus

Múltiples vulnerabilidades en productos de estaciones de automatización de edificios de SAUTER

Múltiples vulnerabilidades en controladores de bomba Osprey de ProPump