labomatik Posté(e) le 30 septembre 2014 Signaler Posté(e) le 30 septembre 2014 Une idée si Fibaro va produire un sécurity fix? http://en.wikipedia.org/wiki/Shellshock_(software_bug)
Shad Posté(e) le 30 septembre 2014 Signaler Posté(e) le 30 septembre 2014 Franchement, limite aucun intérêt si tu veux mon avis. Est-ce que ta box est directement connecté à internet ??? Si oui, commence par revoir cette aspect de ta sécurité. Ensuite, ta box doit être derrière ton routeur et dans ce cas aucun accès à ta box, si tu routes le port 22 dessus, revoie également ta sécurité local. Donc pour des serveurs sur internet, oui c'est à faire. Pour du réseaux local comme la HC2, je vais te dire que je préfère qui finisse la V4/plugins avant de s'occuper de sa.
labomatik Posté(e) le 30 septembre 2014 Auteur Signaler Posté(e) le 30 septembre 2014 avec le home.fibaro elle est exposée et perso je prefere le fix sur ma version stable que sur la v4...
Shad Posté(e) le 30 septembre 2014 Signaler Posté(e) le 30 septembre 2014 Elle est exposé en rien, le home.fibaro n'accède pas au shell. Comment tu veux que le home fibaro modifie tes variables d'environnement alors que sa travaille avec l'api.
labomatik Posté(e) le 30 septembre 2014 Auteur Signaler Posté(e) le 30 septembre 2014 donc en gros: home.fibaro a mon IP publique, acces à l'api de ma box avec mon login et pass l'exposition est discutable
Shad Posté(e) le 30 septembre 2014 Signaler Posté(e) le 30 septembre 2014 Oui, et comment via l'api tu interagir avec le shell ?
labomatik Posté(e) le 30 septembre 2014 Auteur Signaler Posté(e) le 30 septembre 2014 perso je n'ai aucune connaissance de ce que l'API fait exactement (ou pas), le fait est que avec l'API + mon IP externe le risque est réel. Maintenant de dire qu'il est de 90% on en est loin. C
BenjyNet Posté(e) le 30 septembre 2014 Signaler Posté(e) le 30 septembre 2014 Tiens d'ailleurs, ce matin mon syno a fait la mise àjour pour ce problème
Lazer Posté(e) le 30 septembre 2014 Signaler Posté(e) le 30 septembre 2014 lazer@debian:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test lazer@debian:~$ sudo aptitude update ... lazer@debian:~$ sudo aptitude upgrade ... lazer@debian:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" this is a test Le tout en VPN à distance, sans rebooter, sur mon Raspberry et mes VMs. Debian c'est bon, mangez-en Quelques précisions supplémentaires sur la faille, qui est grave, et peut potentiellement toucher la HC2 ou tout autre équipement disposant d'un simple serveur Web exposé, sans forcément avoir ouvert le port SSH : http://linuxfr.org/news/une-faille-nommee-shellshock Les conditions de l'exploitation à distance de la faille sont relativement simples : /bin/sh pointe sur /bin/bash ; avoir SELinux désactivé ou non configuré ; avoir un service qui écoute le réseau et qui va exécuter bash. L'exploitation de cette faille est très simple, et de nombreux preuves de concepts et exploits circulent actuellement sur Internet. Voici une liste non-exhaustive des logiciels qui peuvent être utilisés en passe-plat : dhclient ; apache, via mod_cgi (et sans mod_security correctement configuré) ; exim ; postfix ; qmail ; procmail ; OpenVPN ; stunnel ; probablement de très nombreux logiciels privateurs … SIP, FTP, probablement d'autres …
Lazer Posté(e) le 30 septembre 2014 Signaler Posté(e) le 30 septembre 2014 Pour ceux qui protègent leur serveurs Web avec un reverse proxy comme HAproxy, il faut utiliser le paramètre reqideny afin de filtre les URL étranges qui tentent d'injecter du code. On trouve plein d'exemples sur Google.... Par ex : http://permalink.gmane.org/gmane.comp.web.haproxy/18548 http://comments.gmane.org/gmane.comp.web.haproxy/1936 # block annoying worms that fill the logs... reqideny ^[^:\ ]*\ .*(\.|%2e)(\.|%2e)(%2f|%5c|/|\\\\) reqideny ^[^:\ ]*\ ([^\ ]*\ [^\ ]*\ |.*%00) reqideny ^[^:\ ]*\ .*<script reqideny ^[^:\ ]*\ .*/(root\.exe\?|cmd\.exe\?|default\.ida\?) etc...
Lazer Posté(e) le 30 septembre 2014 Signaler Posté(e) le 30 septembre 2014 Et hop : http://forum.fibaro.com/viewtopic.php?t=5161 Adv.Usr.deraaij Age: 35Joined: 19 Jul 2012Posts: 379Location: NetherlandsPosted: Yesterday 20:00 Fibaro uses indeed bash
Lazer Posté(e) le 28 octobre 2014 Signaler Posté(e) le 28 octobre 2014 Je confirme que la HC2 est vulnérable àla faille Shellshock : root@fghc2:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test Reste àsavoir si ils vont profiter de la v4 pour patcher ou pas.
BenjyNet Posté(e) le 28 octobre 2014 Signaler Posté(e) le 28 octobre 2014 Putain ! La franchement, ils auraient déjàdû faire la modif.. ils ont sorti la beta après avoir eu connaissance de la faille !
Lazer Posté(e) le 28 octobre 2014 Signaler Posté(e) le 28 octobre 2014 euh, remarque je suis sur une veille version. Peut-être qu'en v4 Beta c'est déjàcorrigé.
labomatik Posté(e) le 29 octobre 2014 Auteur Signaler Posté(e) le 29 octobre 2014 sur la v4: root@fghc2:~# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"vulnerablethis is a test
Seraf Posté(e) le 10 novembre 2014 Signaler Posté(e) le 10 novembre 2014 Salut, Je confirme que la faille est exploitable autrement que par SSH. Cependant l'attaque reste quand même très limitée : normalement la box tunnelise avec les serveurs de Fibaro, donc pas besoin de toucher au routeur et d'ouvrir des ports. Comme le traffic passe donc par Fibaro, ils peuvent filtrer des exploitations possibles de cette faille et n'envoyer que du traffic sain sur la HC2... Et pour se connecter au tunnel, il faut quand même connaitre les credentials du compte ET les credentials de la box ... Malheureusement tout cela reste dépendant de Fibaro pour fixer le problème de fond, mais il n'y a pas vraiment d'inquiétude à avoir selon moi
Nico Posté(e) le 10 novembre 2014 Signaler Posté(e) le 10 novembre 2014 Clair, pour moi le fait de passer par un tunnel bloque de toute façon l'accès de l'extérieur, donc bon...
Lazer Posté(e) le 10 novembre 2014 Signaler Posté(e) le 10 novembre 2014 Oui et non. Comme beaucoup, j'ai ouvert un port pour accéder directement à ma box sans passer par le cloud Fibaro. Donc le serveur Web est exposé (mais filtré derrière mon reverse proxy, et en plus il faut connaitre l'URL complète, donc ça limite pas mal). En ce qui concerne le tunnel, un simple script permet de récupérer des centaines/milliers d'adresses IP de possesseurs de HC2 en quelques heures. Le jour où un mec arrive à rentrer sur les serveurs de Fibaro, avec cette liste d'IP il n'a plus qu'à remonter tous les tunnels. Et même sans hacker leurs serveurs, avec la liste des IP récupérées précédemment, il est facile de scanner les ports, il y a probablement 50% de gens qui font du port forwarding. Reste à trouver une faille sur Apache (ou tester le compte admin/password... juste au cas où)
Messages recommandés