ISC verlaagt dreigingsniveau voor internet naar groen
Het Internet Storm Center (ISC) heeft het dreigingsniveau voor internet na vijf dagen verlaagd van kleurcode geel naar kleurcode groen. Aanleiding om het dreigingsniveau te verhogen was de Bash-bug. Volgens het ISC liep een groot aantal systemen risico en werd de kwetsbaarheid actief aangevallen.
Bash is een Unix-shell waarmee er opdrachten aan het systeem kunnen worden gegeven. Het wordt voor allerlei toepassingen gebruikt en veel programma's draaien het in de achtergrond. Vanwege de impact sloegen experts massaal alarm. Inmiddels is het aanvalsverkeer aan het afnemen, waarop het ISC besloot het niveau weer te verlagen. Wel adviseert de organisatie dat bedrijven zich richten op het uitrollen van beschikbare updates en het monitoren van netwerken.
Daarnaast heeft beveiligingsonderzoeker Michael Zalewski meer details over de twee kwetsbaarheden vrijgegeven die hij in Bash ontdekte. Het gaat om de kwetsbaarheden met het CVE-nummer 2014-6277 en 2014-6278, waardoor het ook mogelijk was om op afstand code uit te voeren. Beide lekken zijn verholpen via de update van Florian Weimer van Red Hat, die inmiddels voor de meeste Linux-distributies is verschenen.
To test, execute this command from within a bash shell:
If you see "not patched", you probably want upgrade immediately. If you see "bash: foo: command not found", you're OK.
Aanvulling van Paul Vixie (http://seclists.org/fulldisclosure/2014/Oct/10): check dat je daadwerkelijk in een bash shell zit (en niet in tcsh, ksh, dash etc) voordat je dit soort tests uitvoert, anders kunnen ze een onjuiste uitslag geven.
Vanmiddag heeft Chet Ramey (bash maintainer) nieuwe patches voor bash gepubliceerd, zie https://lists.gnu.org/archive/html/bug-bash/2014-10/. Bij de bash-4.3.28 patch is iets misgegaan meldt Chet zelf, dus daar zal later vandaag nog wel weer een update van komen. Bij deze patches gaat het om mogelijke bufferoverflows die, voor zover bekend, niet remotely exploitable zijn (en dus veel minder belangrijk). Aanvulling 2014-01-02 00:52: In https://lists.gnu.org/archive/html/bug-bash/2014-10/msg00011.html meldt Chet Raney: [REISSUE] Bash-4.3 Official Patch 28. Uit http://seclists.org/oss-sec/2014/q4/24 blijkt dat het bij de net vrijgegeven set patches gaat om het dichten van CVE-2014-7168 en CVE-2014-7169. M.b.t. patches voor CVE-2014-6277 en CVE-2014-6278 schijft Chet dat hij hier nog aan werkt.
Zoals Michal Zalewski schrijft, de meeste grote distro's hebben eind vorige week (inclusief weekend) patches voorgesteld door Florian Weimer (Red Hat) overgenomen. Zondag heeft Chet Ramey een vergelijkbare oplossing in de officiële bash sources overgenomen. Het gaat hierbij vooral om prefixes en postfixes om environmentvariabelen in een niet-interactief scenario. Voorbeeld: eerder kon een aanvaller commando's als "ls" en "cat" overschrijven met nieuwe functiedefinities ("ls()" en "cat()"). Die eerste wordt nu iets als "BASH_FUNC_ls%%()" (zie bijv. https://lists.gnu.org/archive/html/bug-bash/2014-09/msg00278.html) waardoor zo'n definitie "ls" niet meer overschrijft. Aanvulling 2014-01-02 00:52: de aanname is dat dit alle tot nu toe bekende remote exploits weet te voorkomen, maar ik sluit niet uit dat nieuwe meldingen zoals http://seclists.org/oss-sec/2014/q4/26 remotely exploitable zijn (en meer drastische maatregelen nodig zijn waardoor meer bestaande scripts niet meer zullen werken).
Conclusie: aangezien Michal Zalewski vandaag de exploit heeft gepubliceerd, zal daar binnenkort ook wel op gescand gaan worden. Check met bovenstaande test (of het script in https://github.com/hannob/bashcheck) of jouw distro veilig is. Zo niet: patch!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.