Votre avis ? Shellshock Bug

[labomatik]

Une idée si Fibaro va produire un sécurity fix?

http://en.wikipedia.org/wiki/Shellshock_(software_bug)

[Shad]

Franchement, limite aucun intérêt si tu veux mon avis.

Est-ce que ta box est directement connecté à  internet ???

Si oui, commence par revoir cette aspect de ta sécurité.

 

Ensuite, ta box doit être derrière ton routeur et dans ce cas aucun accès à  ta box, si tu routes le port 22 dessus, revoie également ta sécurité local.

 

Donc pour des serveurs sur internet, oui c'est à  faire.

Pour du réseaux local comme la HC2, je vais te dire que je préfère qui finisse la V4/plugins avant de s'occuper de sa.

[labomatik]

avec le home.fibaro elle est exposée et perso je prefere le fix sur ma version stable que sur la v4...

[Shad]

Elle est exposé en rien, le home.fibaro n'accède pas au shell.

Comment tu veux que le home fibaro modifie tes variables d'environnement alors que sa travaille avec l'api.

[labomatik]

donc en gros:

home.fibaro a mon IP publique, acces à  l'api de ma box avec mon login et pass 

l'exposition est discutable

[Shad]

Oui, et comment via l'api tu interagir avec le shell ?

[labomatik]

perso je n'ai aucune connaissance de ce que l'API fait exactement (ou pas), le fait est que avec l'API + mon IP externe le risque est réel.

Maintenant de dire qu'il est de 90% on en est loin.

 

C

[BenjyNet]

Tiens d'ailleurs, ce matin mon syno a fait la mise àjour pour ce problème

[Lazer]

lazer@debian:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

lazer@debian:~$ sudo aptitude update
...

lazer@debian:~$ sudo aptitude upgrade
...

lazer@debian:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test

Le tout en VPN à  distance, sans rebooter, sur mon Raspberry et mes VMs.

 

Debian c'est bon, mangez-en

 

 

 

Quelques précisions supplémentaires sur la faille, qui est grave, et peut potentiellement toucher la HC2 ou tout autre équipement disposant d'un simple serveur Web exposé, sans forcément avoir ouvert le port SSH : http://linuxfr.org/news/une-faille-nommee-shellshock

 

Les conditions de l'exploitation à  distance de la faille sont relativement simples :

    /bin/sh pointe sur /bin/bash ;

    avoir SELinux désactivé ou non configuré ;

    avoir un service qui écoute le réseau et qui va exécuter bash.

 

L'exploitation de cette faille est très simple, et de nombreux preuves de concepts et exploits circulent actuellement sur Internet. Voici une liste non-exhaustive des logiciels qui peuvent être utilisés en passe-plat :

    dhclient ;

    apache, via mod_cgi (et sans mod_security correctement configuré) ;

    exim ; postfix ; qmail ; procmail ;

    OpenVPN ;

    stunnel ;

    probablement de très nombreux logiciels privateurs …

    SIP, FTP, probablement d'autres …

 

[Lazer]

Pour ceux qui protègent leur serveurs Web avec un reverse proxy comme HAproxy, il faut utiliser le paramètre reqideny afin de filtre les URL étranges qui tentent d'injecter du code.

On trouve plein d'exemples sur Google....

Par ex :

http://permalink.gmane.org/gmane.comp.web.haproxy/18548

http://comments.gmane.org/gmane.comp.web.haproxy/1936

# block annoying worms that fill the logs...
        reqideny      ^[^:\ ]*\ .*(\.|%2e)(\.|%2e)(%2f|%5c|/|\\\\)
        reqideny      ^[^:\ ]*\ ([^\ ]*\ [^\ ]*\ |.*%00)
        reqideny      ^[^:\ ]*\ .*<script
        reqideny      ^[^:\ ]*\ .*/(root\.exe\?|cmd\.exe\?|default\.ida\?)

etc...

[Lazer]

Et hop : http://forum.fibaro.com/viewtopic.php?t=5161

 

Adv.Usr.deraaij 

Age: 35
Joined: 19 Jul 2012
Posts: 379
Location: Netherlands

Posted: Yesterday 20:00  

  
Fibaro uses indeed bash

[Lazer]

Je confirme que la HC2 est vulnérable àla faille Shellshock :

root@fghc2:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Reste àsavoir si ils vont profiter de la v4 pour patcher ou pas.

[BenjyNet]

Putain ! La franchement, ils auraient déjàdû faire la modif.. ils ont sorti la beta après avoir eu connaissance de la faille !

[Lazer]

euh, remarque je suis sur une veille version.

Peut-être qu'en v4 Beta c'est déjàcorrigé.

[labomatik]

sur la v4:

root@fghc2:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

[Seraf]

Salut,

 

Je confirme que la faille est exploitable autrement que par SSH.

 

Cependant l'attaque reste quand même très limitée : normalement la box tunnelise avec les serveurs de Fibaro, donc pas besoin de toucher au routeur et d'ouvrir des ports.

 

Comme le traffic passe donc par Fibaro, ils peuvent filtrer des exploitations possibles de cette faille et n'envoyer que du traffic sain sur la HC2... Et pour se connecter au tunnel, il faut quand même connaitre les credentials du compte ET les credentials de la box ...

 

Malheureusement tout cela reste dépendant de Fibaro pour fixer le problème de fond, mais il n'y a pas vraiment d'inquiétude à  avoir selon moi

[Nico]

Clair, pour moi le fait de passer par un tunnel bloque de toute façon l'accès de l'extérieur, donc bon...

[Lazer]

Oui et non.

 

Comme beaucoup, j'ai ouvert un port pour accéder directement à  ma box sans passer par le cloud Fibaro.

Donc le serveur Web est exposé (mais filtré derrière mon reverse proxy, et en plus il faut connaitre l'URL complète, donc ça limite pas mal).

 

En ce qui concerne le tunnel, un simple script permet de récupérer des centaines/milliers d'adresses IP de possesseurs de HC2 en quelques heures.

Le jour où un mec arrive à  rentrer sur les serveurs de Fibaro, avec cette liste d'IP il n'a plus qu'à  remonter tous les tunnels.

Et même sans hacker leurs serveurs, avec la liste des IP récupérées précédemment, il est facile de scanner les ports, il y a probablement 50% de gens qui font du port forwarding. Reste à  trouver une faille sur Apache (ou tester le compte admin/password... juste au cas où)