Aller au contenu

Messages recommandés

Posté(e)

Franchement, limite aucun intérêt si tu veux mon avis.

Est-ce que ta box est directement connecté à  internet ???

Si oui, commence par revoir cette aspect de ta sécurité.

 

Ensuite, ta box doit être derrière ton routeur et dans ce cas aucun accès à  ta box, si tu routes le port 22 dessus, revoie également ta sécurité local.

 

Donc pour des serveurs sur internet, oui c'est à  faire.

Pour du réseaux local comme la HC2, je vais te dire que je préfère qui finisse la V4/plugins avant de s'occuper de sa.

Posté(e)

Elle est exposé en rien, le home.fibaro n'accède pas au shell.

Comment tu veux que le home fibaro modifie tes variables d'environnement alors que sa travaille avec l'api.

Posté(e)

perso je n'ai aucune connaissance de ce que l'API fait exactement (ou pas), le fait est que avec l'API + mon IP externe le risque est réel.

Maintenant de dire qu'il est de 90% on en est loin.

 

C

Posté(e)

lazer@debian:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

lazer@debian:~$ sudo aptitude update
...

lazer@debian:~$ sudo aptitude upgrade
...

lazer@debian:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
this is a test


Le tout en VPN à  distance, sans rebooter, sur mon Raspberry et mes VMs.

 

Debian c'est bon, mangez-en :)

 

 

 

Quelques précisions supplémentaires sur la faille, qui est grave, et peut potentiellement toucher la HC2 ou tout autre équipement disposant d'un simple serveur Web exposé, sans forcément avoir ouvert le port SSH : http://linuxfr.org/news/une-faille-nommee-shellshock

 

Les conditions de l'exploitation à  distance de la faille sont relativement simples :

    /bin/sh pointe sur /bin/bash ;

    avoir SELinux désactivé ou non configuré ;

    avoir un service qui écoute le réseau et qui va exécuter bash.

 

L'exploitation de cette faille est très simple, et de nombreux preuves de concepts et exploits circulent actuellement sur Internet. Voici une liste non-exhaustive des logiciels qui peuvent être utilisés en passe-plat :

    dhclient ;

    apache, via mod_cgi (et sans mod_security correctement configuré) ;

    exim ; postfix ; qmail ; procmail ;

    OpenVPN ;

    stunnel ;

    probablement de très nombreux logiciels privateurs …

    SIP, FTP, probablement d'autres …

 

Posté(e)

Pour ceux qui protègent leur serveurs Web avec un reverse proxy comme HAproxy, il faut utiliser le paramètre reqideny afin de filtre les URL étranges qui tentent d'injecter du code.

On trouve plein d'exemples sur Google....

Par ex :

http://permalink.gmane.org/gmane.comp.web.haproxy/18548

http://comments.gmane.org/gmane.comp.web.haproxy/1936

# block annoying worms that fill the logs...
        reqideny      ^[^:\ ]*\ .*(\.|%2e)(\.|%2e)(%2f|%5c|/|\\\\)
        reqideny      ^[^:\ ]*\ ([^\ ]*\ [^\ ]*\ |.*%00)
        reqideny      ^[^:\ ]*\ .*<script
        reqideny      ^[^:\ ]*\ .*/(root\.exe\?|cmd\.exe\?|default\.ida\?)

etc...

  • 4 semaines après...
Posté(e)

Je confirme que la HC2 est vulnérable àla faille Shellshock :

root@fghc2:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Reste àsavoir si ils vont profiter de la v4 pour patcher ou pas.

  • 2 semaines après...
Posté(e)

Salut,

 

Je confirme que la faille est exploitable autrement que par SSH.

 

Cependant l'attaque reste quand même très limitée : normalement la box tunnelise avec les serveurs de Fibaro, donc pas besoin de toucher au routeur et d'ouvrir des ports.

 

Comme le traffic passe donc par Fibaro, ils peuvent filtrer des exploitations possibles de cette faille et n'envoyer que du traffic sain sur la HC2... Et pour se connecter au tunnel, il faut quand même connaitre les credentials du compte ET les credentials de la box ...

 

Malheureusement tout cela reste dépendant de Fibaro pour fixer le problème de fond, mais il n'y a pas vraiment d'inquiétude à  avoir selon moi :)

Posté(e)

Clair, pour moi le fait de passer par un tunnel bloque de toute façon l'accès de l'extérieur, donc bon...

Posté(e)

Oui et non.

 

Comme beaucoup, j'ai ouvert un port pour accéder directement à  ma box sans passer par le cloud Fibaro.

Donc le serveur Web est exposé (mais filtré derrière mon reverse proxy, et en plus il faut connaitre l'URL complète, donc ça limite pas mal).

 

En ce qui concerne le tunnel, un simple script permet de récupérer des centaines/milliers d'adresses IP de possesseurs de HC2 en quelques heures.

Le jour où un mec arrive à  rentrer sur les serveurs de Fibaro, avec cette liste d'IP il n'a plus qu'à  remonter tous les tunnels.

Et même sans hacker leurs serveurs, avec la liste des IP récupérées précédemment, il est facile de scanner les ports, il y a probablement 50% de gens qui font du port forwarding. Reste à  trouver une faille sur Apache (ou tester le compte admin/password... juste au cas où)

×
×
  • Créer...