CVE-2014-6271及びCVE-2014-7169ねた(Bash脆弱性)。
世間では、外部公開サーバー(特にWebサーバー)への対処が着々と進められています。Webサーバーだけでなく、メールサーバーへの攻撃パターンも早期に見付かっています。外部公開サーバーに対する総合的な点検が近いうちに進んでいくものと思われます。
bash Shellshock through MAIL .forward / qmail-alias piping (ML program etc.) CVE-2014-6271
http://t.co/QPbSE8dppM http://t.co/AFuHudkCdh
— やまざきkei5 (@ymzkei5) September 26, 2014.forwardなどで「|/usr/local/fml/fml.pl /var/spool/ml/test」と書かれてる場合、このfml.plからシェルが呼び出されて無くてもアウト。 http://t.co/QPbSE8dppM http://t.co/AFuHudkCdh
— やまざきkei5 (@ymzkei5) September 26, 2014しかし、一般的なサーバー類だけでなく主にファイアウォールの内部に設置されているアプライアンス類の対処も忘れてはなりません。実際にBash脆弱性を突いた攻撃が可能なアプライアンスも見付かっています。
IODATA RECBOXではDebianが動いていて、Apache CGIを叩いたら/etc/passwdが見えた。Linux Appliance類も調査が必要。 #ShellShock http://t.co/Rg3hWZlw7k
— Shun (@sknn) September 25, 2014外部から直接攻撃可能なパターンとして、LinuxアプライアンスのWeb IFをポートアドレス変換で公開しているものがあります。NASを一部ユーザー向けに限定的に公開しているケースが該当します。
間接的に攻撃可能なパターンとしては、メールで処理を受け付けるアプライアンスが有り得るのでないかと考えていましたが、手持ち機材では攻撃可能なものが見付かっていません。しかし、XMLHttpRequestを使用してクライアントPC経由で攻撃する方法が出てきましたので、のっぴきならない状態となってきました。
ファイアウォール内のサーバに対するShellshockを利用した攻撃 - 葉っぱ日記 (id:hasegawayosuke)
クライアントPCを踏み台にすることで、内部向けのサーバーはもちろんのこと、アプライアンス類にも容易に到達できるようになります。Linuxベースのファイアウォール・ルーターに脆弱性があれば、内部から突くことも可能です。参考までに、Vyattaから分岐したVyOSは「doesn’t use CGI scripts written in bashなのでlow risk」とか言っていますが、さてはて。ちなみにVyOS上ではローカルでも通常のexploit codeが動かなかったというツイートがあります。Bash 4.3台なのにね。
@stainless81 I don’t know but I think in vyatta it is a modified bash - not busybox. It fails the oneliner… pic.twitter.com/SvT87IuMd7
— Michael Bubb (@mbubb) September 26, 2014以上の攻撃パターンを図にまとめました。
万一攻略されてしまった場合ですが、NASからの情報流出・改竄、ルーターの設定改竄等が可能になります。通常のサーバー類と異なり自力でのBashアップデートが不可なのが一般的で、メーカーからのファームウェアアップデート待ちになるのがもどかしいです。
なお、手元のアプライアンス類が脆弱かどうか調べるのは容易ではありません。LinuxアプライアンスにはBusyBoxを使っていてBashが入っていないものもあり(Ashが動いている)、さらに外部ログインできない機器も多く、これらをブラックボックス試験していくのは茨の道です。私は疲れました。
各メーカーから脆弱性の有無について発表され、必要に応じファームウェアアップデートされることが望ましいです。メーカーさん、よろしくです。