Vedo un evento IPS particolare per "Bash Remote Injection Code (Shellshock) HTTP CGI (intestazioni)". Sebbene sia stato configurato sulla mia scatola FireEye NX per bloccare questo evento, questo avviso mi ha infastidito da un po 'di tempo. Come posso garantire che i miei sistemi siano protetti e non interessati da questa vulnerabilità? Mi sono assicurato che il sistema operativo dei sistemi fosse aggiornato e che venissimo aggiornato in merito a Shellshock.
La mia ipotesi sarebbe che questo avviso sia innescato da un utente malintenzionato che esegue uno script automatico che tenta di ottenere l'esecuzione del codice tramite l'applicazione CGI con bash senza patch.
curl -H "User-Agent: () { :; }; /bin/eject" http://example.com/
Come puoi vedere da questo frammento di arricciatura, la stringa User-Agent viene modificata in qualcosa di simile a () { :; }; /bin/eject per far scattare questa vulnerabilità. Poiché la richiesta http contiene questa stringa User-Agent, l'IPS lo segnala come possibile attacco. Ma questo non significa che l'attaccante abbia avuto successo con questo attacco, quindi potrebbe anche essere un falso positivo.
Per verificare se i tuoi sistemi sono vulnerabili, esegui questo codice in un terminale
x='() { :; }; echo VULNERABLE' bash -c :
C'è qualcos'altro che puoi fare: rendere la shell per qualsiasi utente utilizzato dai servizi web qualcosa di diverso da bash.
Per la maggior parte degli account di servizio (ad esempio www-run, nginx o qualsiasi altra cosa sul tuo server venga eseguito), puoi impostare la shell su / sbin / nologin.
Per gli account che hanno bisogno di una shell effettiva, zsh, csh o ksh sono scelte ragionevoli (tenderei ad andare con zsh, ma YMMV).
Questa era in realtà una situazione in cui saltstack era solito evidenziare il loro prodotto e le loro capacità (vedi link ) .
Questo è ovviamente qualcosa che la maggior parte, se non tutti, altri strumenti di gestione della configurazione possono fare
Leggi altre domande sui tag shellshock injection ids