Perché la vulnerabilità di Bash Shellshock non può essere rilevata in anticipo sui server web?

1

Ci sono molti post riguardo la vulnerabilità shellshock. Posso capire la vulnerabilità in dettaglio.

Tuttavia, sono curioso di sapere perché un qualsiasi sistema di rilevamento delle intrusioni o strumenti basati su host (ad es. sistemi antivirus) non riescano a rilevarlo?

Alcune risposte potrebbero includere Snort non ha la firma appropriata, ma almeno dovrebbero esserci alcuni altri sintomi che gli amministratori di rete dovrebbero capire che qualcosa di anomalo nella loro rete come la stringa di agente utente HTTP differisce (le soluzioni basate su host controllano che giusto?), il traffico in uscita potrebbe aumentare in modo anomalo o il numero di processi o l'utilizzo della memoria aumenterà nei server web rispetto ai normali limiti.

PS: questa domanda riguarda i server web che sono vulnerabili agli attacchi shellshock. Intendo in anticipo che dopo un breve periodo l'attacco viene tentato dall'attaccante.

    
posta berkay 14.01.2015 - 17:13
fonte

3 risposte

3

Solitamente una soluzione antivirus non la rileva, perché questi programmi eseguono solo la scansione dei file. In caso di exploit shellshock, nessun file viene scritto sul filesystem del server.

A seconda che un sistema di rilevamento delle intrusioni rilevi o meno questo attacco dipende da quanto raro sia l'attività per l'applicazione Web specifica che protegge, quindi non c'è una risposta generale per questo.

    
risposta data 14.01.2015 - 17:34
fonte
3
  • I contenuti di un attacco shellshock sono tecnicamente richieste di server Web valide. Potresti abbatterli in modo aggressivo (cercando le stringhe che potrebbero essere un attacco shellshock e bloccandoli), ma avrebbe delle limitazioni per le applicazioni legittime (come quelle che hanno bisogno di lavorare con dati binari che potrebbero accadere per adattarsi a una firma shellshock) .
  • Ci sarebbero esattamente tanti effetti collaterali rilevabili come sarebbero. L'attacco effettivo sarebbe praticamente invisibile nel rumore, ma vedresti cambiamenti comportamentali standard. Tuttavia, in casi come un APT con un aggressore competente, scoprirai che gli aggressori sono esperti in ciò che gli amministratori cercano nel traffico di rete e sono disposti a prendersi il loro tempo, mantenendo i loro effetti nel rumore.
risposta data 15.01.2015 - 07:05
fonte
1

La vulnerabilità shellshock è un bug trovato in bash.

  • L'antivirus non lo troverà perché non è un virus (è un bug in un programma).
  • I sistemi di rilevamento delle intrusioni (IDS) di solito non rilevano una vulnerabilità come questa, a meno che non venga sfruttata attivamente (ad esempio, si sta verificando un'intrusione). Come indicato in altre risposte, un sistema di rilevamento delle intrusioni potrebbe anche non rilevare un'intrusione se l'utente malintenzionato può rendere il traffico "normale".

Il modo per mitigare questa e altre vulnerabilità di questo tipo è applicare le ultime patch di sicurezza (ad esempio yum update all) o impostare il sistema per l'aggiornamento automatico. Per correggere la vulnerabilità shellshock, devi aggiornare bash.

    
risposta data 14.01.2015 - 21:20
fonte

Leggi altre domande sui tag