Comprobar vulnerabilidad de bash #ShellShock
Anuncio:
¡Hola! En esta ocasión vamos a comprobar si nuestro mac es vulnerable a #ShellShock y cómo podemos parchear la vulnerabilidad.
Esta vulnerabilidad afecta a todos los equipos UNIX con la shell bash, es especialmente peligroso para sistemas con CGI que transformen los HTTP headers en variables de entorno, y que podrían ser explotados simplemente «cocinando» una cabecera http para inyectar código arbitrario que se ejecutaría en el sistema.
¿Soy vulnerable?
Para comprobar si somos vulnerables (probablemente si) vamos a nuestro terminal y tecleamos:
bash --version
Si obtenemos algo como ‘GNU bash, version 3.2.51(1)-release‘ quiere decir que tenemos una versión de bash vulnerable, lo que haremos será pasar a la versión 3.2.53(1)-release.
La forma de comprobar que somos vulnerables es creando una variable de entorno tal que así:
env x='() { :;}; echo vulnerable' bash -c "echo Esto es un test"
Si al ejecutar la línea anterior, aparece la palabra ‘vulnerable Esto es un Test’ en tu consola, sigue leyendo este artículo.
¿He sido testeado?
Veamos cómo comprobar si nuestro servidor ha sido víctima de un intento de explotación de esta vulnerabilidad, lo primero que debemos hacer es saber dónde se encuentran ubicados los archivos de log, normalmente:
cPanel: /usr/local/apache/domlogs/
Debian/Apache: /var/log/apache2/
CentOS: /var/log/httpd/
Lo más básico que deberíamos comprobar es:
cat access_log | grep "{ :;};"
Podemos ser más precisos con awk, mostrando las direcciones IP desde donde se produjeron las conexiones:
cat log | grep "{ :;};" | awk '{print $1}' | uniq
Si encontramos evidencias de haber sido testeados, lo recomendable es parchear lo más rápido posible.
Parchear #ShellShock en Linux
Parchear #ShellShock en Mac OS
Espero que os haya sido útil.
HackSaludos!
