Veo un evento IPS peculiar para "Bash Remote Code Injection (Shellshock) HTTP CGI (encabezados)". Aunque he configurado en mi caja FireEye NX para bloquear este evento, esta alerta me ha estado molestando por un tiempo. ¿Cómo me aseguro de que mis sistemas estén protegidos y no se vean afectados por esta vulnerabilidad? Me he asegurado de que los sistemas operativos estén actualizados y que estemos actualizados con respecto a Shellshock.
Mi conjetura sería que esta alerta es activada por algún atacante que ejecuta un script automatizado que intenta obtener la ejecución del código a través de la aplicación CGI con un bash sin parches.
curl -H "User-Agent: () { :; }; /bin/eject" http://example.com/
Como puede ver en este fragmento de rizo, la cadena User-Agent se ha cambiado a algo así como () { :; }; /bin/eject para activar esta vulnerabilidad. Debido a que la solicitud http contiene esta cadena de Usuario-Agente, su IPS lo informa como posible ataque. Pero esto no significa que el atacante tuvo éxito con este ataque, por lo que también podría ser un falso positivo.
Para verificar si sus sistemas son vulnerables, ejecute este código en un terminal
x='() { :; }; echo VULNERABLE' bash -c :
Hay otra cosa que puedes hacer: hacer que el shell para cualquier usuario utilizado por los servicios web sea algo distinto a bash.
Para la mayoría de las cuentas de servicio (por ejemplo, www-run, nginx, o lo que sea que ejecute su servidor), puede configurar el shell en / sbin / nologin.
Para las cuentas que sí necesitan un shell real, zsh, csh o ksh son opciones razonables (yo tendería a ir con zsh, pero YMMV).
Esta fue en realidad una situación que Saltstack usó para resaltar su producto y sus capacidades (vea enlace ) .
Esto es, por supuesto, algo que la mayoría, si no todas, otras herramientas de administración de configuración pueden hacer
Lea otras preguntas en las etiquetas shellshock injection ids