パスワードを忘れた? アカウント作成
11601307 story
ボットネット

bashのShellshock脆弱性を利用するボットネットが出現 40

ストーリー by headless
出現 部門より
先日発見されたbashの脆弱性「Shellshock」を利用するボットネットが出現したそうだ(iTnewsの記事本家/.)。

イタリアのセキュリティ企業Tiger SecurityのCEO、Emanuele Gentili氏によれば、このボットネットはLinuxサーバー上で動作する「wopbot」というもの。wopbotはインターネット上をスキャンしてShellshock脆弱性のあるシステムを探し出し、感染を広げていく。Gentili氏が入手したマルウェアのサンプルをサンドボックス内で解析したところ、米国防総省のIPアドレス範囲に対する大量のスキャンが行われることが判明したという。また、Akamaiのホストするサーバーに対するDDoS攻撃も行われていたとのこと。その後、Tiger Securityでは英国と米国のISPに連絡し、wopbotのC&Cサーバーとマルウェアをホストするサーバーをネットワークから切り離すことに成功している。

現在のところwopbotの感染台数は不明だが、Shellshock脆弱性による影響はOpenSSLのHeartbleed脆弱性以上のものになる可能性もあるとのことだ。
  • by annoymouse coward (11178) on 2014年09月27日 17時36分 (#2683787) 日記

    ボットネットを作るなら、脆弱性を使って、bashを 修正 して回るボットネットを作って欲しかったですね

    たとえば curl あたりを使って HTTP経由で
    '() { :;}; yum update bash'
    '() { :;}; apt-get update && apt-get install bash'
    みたいな文字列を撒き散らすだけで、 redhat系、 debian系のサーバは大抵修正できる筈です。文字列を少し変えれば、他のOSにも対応できます

    脆弱性を抱えたサーバも減るし、それを踏み台にした攻撃も減るので、多くの人が幸せになれるんですけどねぇ。

  • by Anonymous Coward on 2014年09月27日 16時02分 (#2683742)

    bashの脆弱性がニュースになってたけど、bash自体の説明が

    > インターネットのホームページを表示するサーバーで広く利用されているプログラム

    となってて、うーん間違ってないけどあってもいないような。
    もやもやした。

    • by Anonymous Coward

      結構あってるんじゃないの。

      インストールベースで考えると、「サーバー用途のマシン」と「bashをインストールしているマシン」にはかなりの強相関があるだろうから。Unix系でもandroidとかはほとんどbash載せてないわけだし、デスクトップLinuxとかIISとか誤差だし。

      • by Anonymous Coward

        自分のAndroidにはbash入ってるけど、これ標準じゃなかったのか

        • まあ、busybox bash っていうのもあって。/bin/shを/bin/bashにリンクしてみたり、/bin/bashを/bin/busyboxにしてみたり。
          あっちは大丈夫なのかな…?

          # カスタマイズが普通のwebサーバはいいけど、ブラックボックスになってるロードバランサとかはなあ
          # 複合機のDHCPクライアントの問題とかもう石油ストーブみたいな対処が向いてるんじゃないか

      • by Anonymous Coward

        >IISとか誤差だし。

        シェアNo1のソフトが、誤差だとすると、誤差じゃないWebサーバって何なんだろう。

        • by Anonymous Coward

          自分にとって都合のいい情報以外は見えない人たちだから…。

      • by Anonymous Coward

        ウェブをサービスするために利用されてると誤解されるからどうかと思う。
        ウェブサーバーじゃなければ問題ないと思われそう。

        この際、サーバーの多くに利用されてるプログラム、でいいと思うが、

        • by Anonymous Coward

          ssh接続でもヤバいんだが
          勘違いしてるコメントがちらほらと

          • by Anonymous Coward
            コマンド制限無視してなんでも実行できる以外ありましたっけ?
            アカウント持ってなくてもコマンドながせるみたいなのがあればやばいけど。

            # 制限なしの方は共有レンタルサーバーとかアップデートされないとやばそうだけどね。
    • by Anonymous Coward

      だって一般向けだぜ。
      他に何て言えばいいのさって話さ。

      毎日こういうのを考えなきゃならん境遇にいるのでAC
      この境遇いつまで続くんだろ・・

  • by Anonymous Coward on 2014年09月27日 17時10分 (#2683778)

    198.20.69.74(census1.shodan.io)から、

    GET / HTTP/1.1
    Cookie: () { :; }; /bin/ping -c 1 104.131.0.69
    Referer: () { :; }; /bin/ping -c 1 104.131.0.69
    User-agent: () { :; }; /bin/ping -c 1 104.131.0.69

    などというのがきてます。

    104.131.0.69は hello.data.shodan.io だそうです。
    ちなみに

    census1.shodan.io 198.20.69.74
    census2.shodan.io 198.20.69.98
    census3.shodan.io 198.20.70.114
    census4.shodan.io 198.20.99.130
    census5.shodan.io 93.120.27.62
    census6.shodan.io 66.240.236.119
    census7.shodan.io 71.6.135.131
    census8.shodan.io 66.240.192.138
    census9.shodan.io 71.6.167.142
    census10.shodan.io 82.221.105.6
    census11.shodan.io 82.221.105.7
    census12.shodan.io 71.6.165.200
    census.shodan.io 208.180.20.97

    • by Anonymous Coward

      なるほど。その手の変数名をつかうと、より効果的に攻撃出来るんですね。

      • by Anonymous Coward
        変数名というか、これらのリクエストヘッダの内容を環境変数に置く様なサーバーの場合に、pingが送られてバレるってことですね。

        Apacheのmod_envとか、Appサーバーとの連携で環境変数つかってたりするのも狙われるわけだ。

        なるほど、こういう攻撃方法を考えつくわけか…。
  • by kemeco (41597) on 2014年09月27日 18時52分 (#2683829)

    うちの無線LANルーターは中でlinuxが動いてるそうなんだけど、ついでにbashまで動いてました的なことがないことを祈ってます(ガクブル
    考えすぎ?

    • by Anonymous Coward on 2014年09月27日 19時25分 (#2683848)

      組み込みだと、bashよりもbusybox ashが多いんじゃないかな? ルーターファームウェアのOpenWrtとDD-WRTは共にbusybox ashだったはず。

      • by Anonymous Coward

        うわああ!
        busyboxは洒落にならん!
        軽いから結構普及してるだろ?
        数が多いからパッチなんて当てきれないだろ?

        • by Anonymous Coward

          ん?今回のbashの脆弱性はbusyboxにも存在するの?

          • by Anonymous Coward

            busyboxのashはDebianのdashの派生らしいので、今回の脆弱性はありません。

  • by Anonymous Coward on 2014年09月27日 16時12分 (#2683745)

    聞き直してみたら、おまえの心臓が止まるまで不十分だとか歌われてました。

    bashなど使っていると心臓が止まるまでゲームをやらされることになるらしい…

    http://en.wikipedia.org/wiki/Shellshock_(song) [wikipedia.org]

  • by Anonymous Coward on 2014年09月27日 16時21分 (#2683752)

    でも標準SHELLをbashにしてる環境が多すぎたり、入力データをまんまSHELLに投げてるプログラムとか
    テスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…

    • テスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…

      今回のバグは、bashが環境変数中に仕込まれたコードを実行してしまう、というものです。そして、リクエスト中のヘッダフィールドを環境変数として渡すことは、CGIの仕様によって要求されています(RFC 3875 [ietf.org])。したがって今回の脆弱性は、Webサーバが仕様通りに動作することがテストされていたとしても、回避することはできません。

      攻撃っぽいフィールドを弾いてほしいところかも知れませんが、それは汎用のWebサーバではなくWAFの役割だと思います。

      • by Anonymous Coward

        bash を #!/bin/sh として起動しても今回の問題が避けられないところまでは確認しましたが、
        この環境変数で関数を…って仕様は素の sh にはあるのでしょうか?
         (問題があるかどうか以前の問題として)

        # 素の sh って定義がアレだとは思いますが…

    • by Anonymous Coward

      常識的に考えて標準シェルはcshだよな

      • by Anonymous Coward

        そうだね、login shell は (t)csh, シェルスクリプトは (POSIX 互換でない、Solaris のやや古臭い) /bin/sh 向けのが最高だね。

        ※利用者の個人的な感想です。

      • by Anonymous Coward

        どっから見てもcshとかロクなもんじゃねえ。

    • by Anonymous Coward

      お前が物事を広く見られない人間だというのは分かった

      • by Anonymous Coward

        広い(グローバル)視野(スコープ)がないから環境変数使ってますねん(♪デンデン)

  • by Anonymous Coward on 2014年09月27日 17時56分 (#2683798)

    CGIとかイマドキそんなに多くないと思うけど、ここまで大騒ぎしてる理由がわかんないなぁ

    • いいえ。

      Unixでは、プログラムが内部的にコマンドを呼び出す際 /bin/sh (OSによってはbashへのシンボリックリンク) を経由させること、環境変数を経由して外部からのデータの受け渡しをすることは非常に多く行われています。そのような処理をしている場合にはCGIプログラムに限らず (もちろん、HTTPに限らず他のサービスでも) 影響を受ける可能性があります。

      CGI以外のWebサービス周りで言えば、たとえば、Passenger (Ruby on Rails で利用される) では、ワーカープロセス起動時に /bin/sh を経由するため、今回の影響を受ける可能性があります [phusion.nl]。

      --
      HIRATA Yasuyuki
    • by Anonymous Coward

      日本国政府なめてんの?

    • by Anonymous Coward

      勘違いしてるコメントってこういうのか

    • by Anonymous Coward

      自分が使ってるかどうかとサーバで使えるように設定されているかは別だろう。
      レンタルサーバなんかでファイルを置くだけで許可を変えられるなら、わざと自分のファイル以外にアクセスするように仕組んだコンテンツをアップロードされる可能性だってある。
      本来できないはずのあんなこともこんなこともやり放題だ。

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...