1. Linux Day 2014 - ALUGSHELLSHOCK...quando le shell vengono col bucoGianni 'guelfoweb' Amato @guelfoweb

2. No no, Shellshock NON un virus! 3. Shellshock un bug di GNU BashShellshock allows anyone (or anything) that has shell access to execute arbitrary code.Scoperto il: 12 Settembre 2014Credit: Stphane ChazelasDivulgato il: 24 Settembre 2014Vulnerabile: 1.14 GNU Bash 4.3 4. Common Vulnerability Scoring System 5. Common Vulnerabilities and ExposuresCVE-2014-6271 24/09/2014CVE-2014-7169 26/09/2014CVE-2014-7186 01/10/2014CVE-2014-7187 01/10/2014CVE-2014-6277 02/10/2014CVE-2014-6278 05/10/2014 6. Sistemi impattatiLinuxBSD OSXCygwinIl 70% dei server web e delle macchine 7. Criticit 10/10Complessit 1/10 8. CVE-2014-6271env x='() { :;}; echo vulnerable' bash -c "echo this is a test"https://shellshocker.net/Variabile d'ambiente Codice arbitrario 9. Test script & PoChttps://github.com/hannob/bashcheckhttps://github.com/wreiske/shellshocker/https://github.com/mubix/shellshocker-pocs 10. Robert GrahamRicercatore di sicurezza per Errata Securityha realizzato e successivamente divulgato ascopo di test uno script per individuare serverweb vulnerabili a Shellshock.Quel che successo immediatamente dopoera inevitabile...http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html 11. Thanks-Rob24 settembre 2014 - Dodici giorni dopo la divulgazione di shellshockhttps://gist.github.com/anonymous/929d622f3b36b00c0be1https://www.virustotal.com/en/file/c421911baf180806031d392a1ff223c00a5a190191bd1cc2d0bc580aca140c21/analysis/1413712797/ 12. Ancora oggi... 13. Circa 400 Server Web Compromessi 14. C99Shell 15. Grazie per l'attenzionesudo apt-get update && sudo apt-get install --only-upgrade bash