La vulnerabilidad Shellshock tenía unos 25 años de antigüedad cuando se anunció públicamente. ¿Ha habido alguna evidencia de que haya sido explotado en la naturaleza antes de su anuncio público "oficial"?
La vulnerabilidad Shellshock tenía unos 25 años de antigüedad cuando se anunció públicamente. ¿Ha habido alguna evidencia de que haya sido explotado en la naturaleza antes de su anuncio público "oficial"?
En resumen, no, no hay informes oficiales de shellshock utilizados antes de su divulgación. Aunque, eso ciertamente no confirma lo negativo.
Si las agencias de inteligencia u otros sabían de su existencia, permanece No está claro y es poco probable que se confirme. Pero Ty Miller, de la firma de Sydney. Inteligencia de amenazas, señaló informes de que el gobierno de Estados Unidos supuestamente sabía acerca de la vulnerabilidad Heartbleed durante muchos años antes de que fuera descubierto.
"Me sorprendería si los gobiernos no conocieran y explotaran Sistemas con Shell Shock durante años ", dijo.
De Heartbleed
¿Puedo detectar si alguien ha explotado esto en mi contra?
La explotación de este error no deja rastro de nada anormal que suceda en los registros.
¿Se ha abusado de esto en la naturaleza?
No lo sabemos. La comunidad de seguridad debería implementar honeypots TLS / DTLS que atrapan a los atacantes y alertan sobre intentos de explotación.
Por lo que sé, no hay evidencia de que el estado haya usado Heartbleed antes de su divulgación, aunque es bien sabido que sabían de su existencia.
Sin embargo, que el estado puede o no haber sabido sobre la vulnerabilidad es donde termina la comparación. Shellshock deja un registro de seguimiento Sin embargo, una vez que se posee, los registros son triviales de borrar.
Dentro de una hora después del anuncio de la vulnerabilidad de Bash, hay Hubo informes de máquinas comprometidas por el error. Para el 25 de septiembre 2014, botnets basados en computadoras comprometidas con exploits basados en los atacantes estaban utilizando el error para denegación de servicio distribuida (DDoS) ataques y análisis de vulnerabilidades
Obviamente, las vulnerabilidades se crearon después del lanzamiento de CVE-2014-6271 (Shellshock), pero es imposible decir cuánto contribuyó la conciencia del administrador a la culpa de Shellshock por su compromiso. Si fuera malintencionado y tuviera una herramienta como shell shock en mis manos, eso no es algo que usaría frívolamente. No es el tipo de vulnerabilidad que un actor malicioso desea que se note. Sin duda me gustaría borrar los registros. Pero si el conocimiento ya está disponible, y los scripts y los escáneres de vulnerabilidades están ampliamente disponibles, cubrir las pistas se vuelve menos importante ... o quizás alguien no les haya dado un script para hacer eso.
Pero, Stephane Chazelas debería tener la última palabra: ¿Cómo encontró a Shellshock?
En cualquier caso, no encontré el error observando exploits, no tengo razón para creer que ha sido explotada antes de ser revelada (aunque por supuesto no puedo descartarlo). No lo encontré mirando a bash código cualquiera.
No hay informes oficiales de que se use en la naturaleza. Como el exploit estuvo disponible durante 25 años, es muy probable que los actores del estado nacional estén conscientes de esta vulnerabilidad. Sin embargo, dado que serían los actores del estado-nación los que usaron el exploit, no dejarían mucha evidencia detrás.
Lea otras preguntas en las etiquetas shellshock