Webinar shellshock Kees van Winzum Consultant Security kees.van.winzum@qi.nl Hugo van der Kooij Senior Support Engineer helpdesk@qi.nl
Shellshock Webinar Agenda 1. Uitleg Shellshock 2. Wie / wat is vulnerable? 3. Te nemen stappen 4. Status Qi ict fabrikanten 5. Vragen
Uitleg
Uitleg
Uitleg
Uitleg Environment Variable
Uitleg Environment Variable GNU Bash version 3.0 t/m 4.3
Uitleg: Environment Variable
Uitleg: Environment Variable
Uitleg: Environment Variable
Uitleg: Environment Variable Windows kent ook Environment Variables Windows is uiteraard niet vatbaar!
Uitleg: testen ongepatched Test script: env x= () { :;}; echo vulnerable bash -c echo this is a test
Uitleg: testen ongepatched Test script: env x= () { :;}; echo vulnerable bash -c echo this is a test
Uitleg: testen ongepatched Test script: env x= () { :;}; echo vulnerable bash -c echo this is a test
Uitleg: testen ongepatched Test script: env x= () { :;}; echo vulnerable bash -c echo this is a test
Uitleg: testen ongepatched Test script: env x= () { :;}; echo vulnerable bash -c echo this is a test
Korte uitleg: testen gepatched Test script: env x= () { :;}; echo vulnerable bash -c echo this is a test
Uitleg Environment Variable
Uitleg Environment Variable
Uitleg Environment Variable
Uitleg Environment Variable
Uitleg Environment Variable GNU Bash version 3.0 t/m 4.3
Korte uitleg Shellshock Heartbleed Bron: nvd.nist.gov
Wie / Wat is vulnerable? Linux, BSD, and UNIX distributions including but not limited to: Red Hat Enterprise Linux (versions 4 through 7) and the Fedora distribution CentOS (versions 5 through 7) Ubuntu 10.04 LTS, 12.04 LTS, and 14.04 LTS Debian Mac OS X Applications: Apache using bash scripts: bv CGI Wordt gekeken naar SSH (ForceCommand) http://unix.stackexchange.com/questions/157477/how-can-shellshock-be-exploited-over-ssh Wordt gekeken naar DHCP https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/
Wie / Wat is vulnerable? Linux, BSD, and UNIX distributions including but not limited to: Red Hat Enterprise Linux (versions 4 through 7) and the Fedora distribution CentOS (versions 5 through 7) Ubuntu 10.04 LTS, 12.04 LTS, and 14.04 LTS Debian Mac OS X Applications: Apache using bash scripts: bv CGI Wordt gekeken naar SSH (ForceCommand) Wordt gekeken naar DHCP GNU Bash version 3.0 t/m 4.3 http://unix.stackexchange.com/questions/157477/how-can-shellshock-be-exploited-over-ssh https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/
Te nemen stappen Inventariseren : van unsafe naar safer. Zijn de beheer webinterfaces van de devices alleen via een Management LAN toegankelijk? Compartimentalisatie! Is er een CVE-2014-6271, CVE-2014-7169 IPS signature voor mijn FW/IPS? Zo ja, apply Heb ik alle devices? Bijvoorbeeld Vmware appliances (CentOS), IP phones, oh ja daar stond ook nog een router! Patchen! FW / IPS Hacker Clients/Servers OS OS
Te nemen stappen Inventariseren : van unsafe naar safer. Zijn de beheer webinterfaces van de devices alleen via een Management LAN toegankelijk? Compartimentalisatie! Is er een CVE-2014-6271, CVE-2014-7169 IPS signature voor mijn FW/IPS? Zo ja, apply Heb ik alle devices? Bijvoorbeeld Vmware appliances (CentOS), IP phones, oh ja daar stond ook nog een router! Patchen! FW / IPS Hacker IPS sig Clients/Servers OS OS
Te nemen stappen Inventariseren : van unsafe naar safer. Zijn de beheer webinterfaces van de devices alleen via een Management LAN toegankelijk? Compartimentalisatie! Is er een CVE-2014-6271, CVE-2014-7169 IPS signature voor mijn FW/IPS? Zo ja, apply Heb ik alle devices? Bijvoorbeeld Vmware appliances (CentOS), IP phones, oh ja daar stond ook nog een router! Patchen! FW / IPS Hacker IPS sig Clients/Servers OS OS
Te nemen stappen Inventariseren : van unsafe naar safer. Zijn de beheer webinterfaces van de devices alleen via een Management LAN toegankelijk? Compartimentalisatie! Is er een CVE-2014-6271, CVE-2014-7169 IPS signature voor mijn FW/IPS? Zo ja, apply Heb ik alle devices? Bijvoorbeeld Vmware appliances (CentOS), IP phones, oh ja daar stond ook nog een router! Patchen! Hacker FW / IPS IPS sig HTTPS? Clients/Servers OS OS
Te nemen stappen Inventariseren : van unsafe naar safer. Zijn de beheer webinterfaces van de devices alleen via een Management LAN toegankelijk? Compartimentalisatie! Is er een CVE-2014-6271, CVE-2014-7169 IPS signature voor mijn FW/IPS? Zo ja, apply Heb ik alle devices? Bijvoorbeeld Vmware appliances (CentOS), IP phones, oh ja daar stond ook nog een router! Patchen! Hacker FW / IPS IPS sig HTTPS? Clients/Servers OS OS
Te nemen stappen Inventariseren : van unsafe naar safer. Zijn de beheer webinterfaces van de devices alleen via een Management LAN toegankelijk? Compartimentalisatie! Is er een CVE-2014-6271, CVE-2014-7169 IPS signature voor mijn FW/IPS? Zo ja, apply Heb ik alle devices? Bijvoorbeeld Vmware appliances (CentOS), IP phones, oh ja daar stond ook nog een router! Patchen! Hacker FW / IPS IPS sig HTTPS? Clients/Servers OS OS
Te nemen stappen? www.shellshocktest.com
Status Qi ict leveranciers https://www.qi.nl/bash-shellshock-vulnerability
Status Qi ict leveranciers http://tools.cisco.com/security/center/content/ciscosecurityadvisory/cisco-sa-20140926-bash
Vragen?