¿Por qué no se puede detectar la vulnerabilidad de Bash Shellshock en los servidores web con anticipación?

Navega tus respuestas
1

Hay muchas publicaciones relacionadas con la vulnerabilidad de shellshock. Puedo entender la vulnerabilidad en detalle.

Sin embargo, tengo curiosidad acerca de por qué algún sistema de detección de intrusiones o herramientas basadas en host (por ejemplo, sistemas antivirus) no lo detectan.

Algunas respuestas pueden incluir que Snort no tiene la firma adecuada, pero al menos debe haber algunos otros síntomas que los administradores de red deben entender que algo no funciona correctamente en su red, como la cadena de agente de usuario HTTP difiere (las soluciones basadas en host verifican que ¿correcto?), el tráfico saliente puede aumentar anormalmente, o el número de procesos o el uso de memoria en los servidores web aumenta más que los límites habituales.

PD: esta pregunta es sobre los servidores web que son vulnerables al ataque de shellshock. Quiero decir con de antemano que después de un breve periodo de tiempo, el atacante intenta atacar.

    
pregunta berkay 14.01.2015 - 17:13
fuente

3 respuestas

3

Por lo general, una solución antivirus no lo detectará, ya que estos programas solo analizan los archivos. En el caso de la explotación de shellshock, no se escriben archivos en el sistema de archivos de los servidores.

Dependiendo de si un sistema de detección de intrusos detecta o no este ataque, depende de lo poco común que sea la actividad para la aplicación web específica que protege, por lo que no hay una respuesta general para esto.

    
respondido por el Philipp 14.01.2015 - 17:34
fuente
3
  • El contenido de un ataque de shellshock son técnicamente solicitudes de servidor web válidas. Podría seleccionarlas agresivamente (buscando cadenas que podrían ser ataques de shell shock y bloquearlas), pero tendría limitaciones para aplicaciones legítimas (como las que necesitan trabajar con datos binarios que pueden encajar en una firma de shell shock) .
  • Habría exactamente tantos efectos secundarios detectables como podría haber. El ataque real sería virtualmente invisible en el ruido, pero verías cambios de comportamiento estándar. Sin embargo, en casos como un APT con un atacante competente, encontrará que los atacantes están bien versados en lo que los administradores buscan en el tráfico de red y están dispuestos a tomarse su tiempo, manteniendo sus efectos en el ruido.
respondido por el Cort Ammon 15.01.2015 - 07:05
fuente
1

La vulnerabilidad de shellshock es un error que se encuentra en bash.

  • El antivirus no lo encontrará porque no es un virus (es un error en un programa).
  • Los sistemas de detección de intrusos (IDS) no detectarán una vulnerabilidad como esta a menos que se esté explotando activamente (por ejemplo, se está produciendo una intrusión). Como se indica en otras respuestas, un sistema de detección de intrusos podría incluso no detectar una intrusión si el atacante puede hacer que el tráfico se vea "normal".

La forma de mitigar esta y otras vulnerabilidades similares es aplicar los últimos parches de seguridad (por ejemplo, yum actualizar todos) o configurar el sistema para que se actualice automáticamente. Para corregir la vulnerabilidad de shellshock, necesita actualizar el bash.

    
respondido por el Jonathan 14.01.2015 - 21:20
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo detener este ataque remoto? ¿Por qué Google.com sigue siendo compatible con SSL v3?