SlideShare une entreprise Scribd logo
1  sur  15
Télécharger pour lire hors ligne
Linux Day 2014 - ALUG 
SHELLSHOCK 
...quando le shell vengono col buco 
Gianni 'guelfoweb' Amato @guelfoweb
No no, Shellshock NON è un virus!
Shellshock è un bug di GNU Bash 
Shellshock allows anyone (or anything) that has shell access to execute arbitrary code. 
Scoperto il: 12 Settembre 2014 
Credit: Stéphane Chazelas 
Divulgato il: 24 Settembre 2014 
Vulnerabile: 1.14 ≤ GNU Bash ≤ 4.3
Common Vulnerability Scoring System
Common Vulnerabilities and Exposures 
CVE-2014-6271 → 24/09/2014 
CVE-2014-7169 → 26/09/2014 
CVE-2014-7186 → 01/10/2014 
CVE-2014-7187 → 01/10/2014 
CVE-2014-6277 → 02/10/2014 
CVE-2014-6278 → 05/10/2014
Sistemi impattati 
Linux 
BSD OSX 
Cygwin 
Il 70% dei server web e delle macchine
Criticità 10/10 
Complessità 1/10
CVE-2014-6271 
env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 
https://shellshocker.net/ 
Variabile d'ambiente Codice arbitrario
Test script & PoC 
https://github.com/hannob/bashcheck 
https://github.com/wreiske/shellshocker/ 
https://github.com/mubix/shellshocker-pocs
Robert Graham 
Ricercatore di sicurezza per Errata Security 
ha realizzato e successivamente divulgato a 
scopo di test uno script per individuare server 
web vulnerabili a Shellshock. 
Quel che è successo immediatamente dopo 
era inevitabile... 
http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html
Thanks-Rob 
24 settembre 2014 - Dodici giorni dopo la divulgazione di shellshock 
https://gist.github.com/anonymous/929d622f3b36b00c0be1 
https://www.virustotal.com/en/file/c421911baf180806031d392a1ff223c00a5a190191bd1cc2d0bc580aca140c21/analysis/1413712797/
Ancora oggi...
Circa 400 Server Web Compromessi
C99Shell
Grazie per l'attenzione 
sudo apt-get update && sudo apt-get install --only-upgrade bash

Contenu connexe

En vedette

Network forensics: un approccio laterale
Network forensics: un approccio lateraleNetwork forensics: un approccio laterale
Network forensics: un approccio lateraleDavide Paltrinieri
 
Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory AnalysisEmil Tan
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliGianni Amato
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Risk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksRisk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksMarco Morana
 
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static TechniquesCNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static TechniquesSam Bowne
 
Introduction to Malware Analysis
Introduction to Malware AnalysisIntroduction to Malware Analysis
Introduction to Malware AnalysisAndrew McNicol
 
44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysisMichael Boman
 

En vedette (12)

Network forensics: un approccio laterale
Network forensics: un approccio lateraleNetwork forensics: un approccio laterale
Network forensics: un approccio laterale
 
Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory Analysis
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni Digitali
 
ATP
ATPATP
ATP
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
 
Risk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksRisk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware Attacks
 
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static TechniquesCNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
 
ATM Malware: Understanding the threat
ATM Malware: Understanding the threat	ATM Malware: Understanding the threat
ATM Malware: Understanding the threat
 
Introduction to Malware Analysis
Introduction to Malware AnalysisIntroduction to Malware Analysis
Introduction to Malware Analysis
 
Malware
MalwareMalware
Malware
 
44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis
 

Plus de Gianni Amato

Open Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioOpen Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioGianni Amato
 
DOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformDOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformGianni Amato
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioIl CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioGianni Amato
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
Internet Forensics
Internet ForensicsInternet Forensics
Internet ForensicsGianni Amato
 

Plus de Gianni Amato (6)

Open Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioOpen Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggio
 
DOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformDOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence Platform
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacry
 
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioIl CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
 
Internet Forensics
Internet ForensicsInternet Forensics
Internet Forensics
 

Linuxday 2014 Amato - Shellshock

  • 1. Linux Day 2014 - ALUG SHELLSHOCK ...quando le shell vengono col buco Gianni 'guelfoweb' Amato @guelfoweb
  • 2. No no, Shellshock NON è un virus!
  • 3. Shellshock è un bug di GNU Bash Shellshock allows anyone (or anything) that has shell access to execute arbitrary code. Scoperto il: 12 Settembre 2014 Credit: Stéphane Chazelas Divulgato il: 24 Settembre 2014 Vulnerabile: 1.14 ≤ GNU Bash ≤ 4.3
  • 5. Common Vulnerabilities and Exposures CVE-2014-6271 → 24/09/2014 CVE-2014-7169 → 26/09/2014 CVE-2014-7186 → 01/10/2014 CVE-2014-7187 → 01/10/2014 CVE-2014-6277 → 02/10/2014 CVE-2014-6278 → 05/10/2014
  • 6. Sistemi impattati Linux BSD OSX Cygwin Il 70% dei server web e delle macchine
  • 8. CVE-2014-6271 env x='() { :;}; echo vulnerable' bash -c "echo this is a test" https://shellshocker.net/ Variabile d'ambiente Codice arbitrario
  • 9. Test script & PoC https://github.com/hannob/bashcheck https://github.com/wreiske/shellshocker/ https://github.com/mubix/shellshocker-pocs
  • 10. Robert Graham Ricercatore di sicurezza per Errata Security ha realizzato e successivamente divulgato a scopo di test uno script per individuare server web vulnerabili a Shellshock. Quel che è successo immediatamente dopo era inevitabile... http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html
  • 11. Thanks-Rob 24 settembre 2014 - Dodici giorni dopo la divulgazione di shellshock https://gist.github.com/anonymous/929d622f3b36b00c0be1 https://www.virustotal.com/en/file/c421911baf180806031d392a1ff223c00a5a190191bd1cc2d0bc580aca140c21/analysis/1413712797/
  • 13. Circa 400 Server Web Compromessi
  • 15. Grazie per l'attenzione sudo apt-get update && sudo apt-get install --only-upgrade bash