Shellshock-Exploit über DHCP

Originalartikel von Akash Sharda, Vulnerability Researcher

Die als Shellshock bekannt gewordene Bash-Sicherheitslücke kann über verschiedene Angriffswege missbraucht werden, einschließlich DHCP (Dynamic Host Configuration Protocol), SIP (Session Initiation Protocol) und SMTP (Simple Mail Transfer Protocol). Die Schwachstelle wurde in vielen Machbarkeitsbeweisen (einschließlich mit Metasploit-Code) angegriffen. Die meisten Diskussionen um Shellshock-Angriffe drehten sich um solche auf Web Apps, und nur wenig wird über Angriffsoberflächen wie DHCP, SMTP und CUPS (Common Unix Printing System) gesprochen.
DHCP wird dafür verwendet, um Netzwerkkonfigurationseinstellungen wie IP-Adressen dynamisch zu verteilen und zuzuweisen. Ein Angreifer kann einen kompromittierten DHCP-Server konfigurieren oder einen „unechten“ DHCP-Server aufsetzen, um darüber bösartige Informationen an den DHCP-Client zu verschicken. Mit beiden Techniken wurde das Netzwerk über weitere Angriffsvektoren bereits kompromittiert.

Bild 1. Verkehrsfluss, der die bösartige Antwort des DHCP-Clients abbildet

Zusätzlich zu Standardfeldern kann der DHCP-Server auch Optionsfelder anbieten (über eine Zahl). Dabei sendet der bösartige Server die Befehle über die Option 114, die die bösartigen Befehle beinhaltet.


Bild 2. DHCP-Server, der Tftpf32 nutzt. Eine weitere Option-URL (114) wurde dafür konfiguriert, um die bösartige Payload zu verschicken.


Bild 3. Die bösartige Payload im URL-Feld

Erhält der DHCP-Client, der auf der angreifbren Bash läuft, die bösartige Zeichenfolge, so führt dies zur Ausführung beliebigen Codes. Das führt seinerseits zur Kompromittierung weiterer Systeme im Netzwerk.


Bild 4. Codeausführung auf dem DHCP-Client aufgrund der bösartigen Antwort

Dieser Angriffsvektor über einen DHCP-Client auf einer angreifbaren Bash wird öffentlich viel diskutiert. Doch hat DHCP auch andere Felder, die in jeder DHCP Offer und ACK-Antwort vorhanden sind. Der DHCP-Server kann optional seinen Namen im Server Hostname-Feld in der DHCP-Antwort mitschicken. Dieses Feld lässt sich auch dafür nutzen, um bösartigen Code zu verschicken:


Bild 5. Bösartige Payload im Server Hostname-Feld


Bild 6. Codeausführung auf dem DHCP-Client aufgrund der bösartigen Antwort

Boot-Dateiname ist ein weiteres Feld in DHCP Offer und ACK-Antwort. Clients können optional eine Boot-Datei anfordern, und der Server gibt den Ordnerpfad für die Boot-Datei sowie den Dateinamen in der Antwort an. Konfiguriert hier ein Angreifer eine bösartige Zeichenfolge, so führt das zur Codeausführung:


Bild 7. Bösartige Payload im Feld Boot-Dateiname


Bild 8. Codeausführung auf dem DHCP-Client aufgrund der bösartigen Antwort

Trend Micros Deep Security schützt die Anwender vor Angriffen, die aus der Bash-Sicherheitslücke entstehen können. Dafür gibt es die folgende Regel:

  • 1006258 – GNU Bash Remote Code Execution Vulnerability Over DHCP

Weitere Informationen zu der Bash-Sicherheitslücke oder Shellshock-Exploit gibt es hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.