La vulnerabilità Shellshock aveva circa 25 anni quando è stata annunciata pubblicamente. Ci sono state prove che siano stati sfruttati in natura prima dell'annuncio pubblico "ufficiale"?
La vulnerabilità Shellshock aveva circa 25 anni quando è stata annunciata pubblicamente. Ci sono state prove che siano stati sfruttati in natura prima dell'annuncio pubblico "ufficiale"?
In sintesi, no, non ci sono rapporti ufficiali di shellshock usati prima della sua divulgazione. Anche se, questo certamente non conferma il negativo.
Whether intelligence agencies or others knew of its existence remains unclear and is unlikely to be confirmed. But Ty Miller, of Sydney firm Threat Intelligence, noted reports that the US government allegedly knew about the Heartbleed vulnerability for many years before it was discovered.
"I would be amazed if governments haven't known about and exploited systems with Shell Shock for years," he said.
Da Heartbleed
Can I detect if someone has exploited this against me?
Exploitation of this bug does not leave any trace of anything abnormal happening to the logs.
Has this been abused in the wild?
We don't know. Security community should deploy TLS/DTLS honeypots that entrap attackers and to alert about exploitation attempts.
Quindi, per quanto ne so, non ci sono prove che lo stato stia usando il heartbleed prima di essere divulgato, anche se è risaputo che sapevano della sua esistenza.
Tuttavia, lo stato può o non può sapere della vulnerabilità è dove finisce il confronto. Shellshock lascia una traccia di log Tuttavia, una volta posseduti, i registri sono banali da cancellare.
Within an hour of the announcement of the Bash vulnerability, there were reports of machines being compromised by the bug. By 25 September 2014, botnets based on computers compromised with exploits based on the bug were being used by attackers for distributed denial-of-service (DDoS) attacks and vulnerability scanning
Ovviamente gli exploit sono stati creati dopo il rilascio di CVE-2014-6271 (Shellshock), ma è impossibile dire quanto la consapevolezza dell'amministratore abbia contribuito alla responsabilità della shellshock per il loro compromesso. Se fossi malizioso e avessi uno strumento come shellshock nelle mie mani, non sarebbe qualcosa che userò in modo frivolo. Non è il tipo di vulnerabilità che un attore malintenzionato vuole notare. Vorrei certamente cancellare i registri. Ma se la conoscenza è già disponibile, e gli script e gli scanner di vulnerabilità sono ampiamente disponibili, la copertura delle tracce diventa meno importante ... o forse qualcuno non ha dato loro uno script per farlo.
Ma Stephane Chazelas dovrebbe avere l'ultima parola: Come hai trovato shellshock?
In any case, I didn't find the bug by observing exploits, I have no reason to believe it's been exploited before being disclosed (though of course I can't rule it out). I did not find it by looking at bash's code either.
Non ci sono resoconti ufficiali sull'uso in natura. Poiché l'exploit era disponibile per 25 anni, è molto probabile che gli attori dello stato-nazione fossero consapevoli di questa vulnerabilità. Tuttavia, dal momento che sarebbero stati gli attori dello stato-nazione a sfruttare l'exploit, non lascerebbero molte prove.
Leggi altre domande sui tag shellshock