Rilevare i server vulnerabili a ShellShock con Zabbix

Categoria: 

ShellShock è una vulnerabilità scoperta nel settembre 2014 che colpisce un'ampia gamma di server e dispositivi Unix-based che utilizzano la shell "bash". Molti vendor hanno rilasciato uno o più aggiornamenti per il componente interessato ed è compito dell'amministratore di sistema verificare che tutti i sistemi siano patchati. Purtroppo in una rete con molti server verificare manualmente ciascun sistema può richiedere molto tempo e rischiare di portare a risultati incompleti.

Il template Zabbix allegato consente di rilevare in automatico quali sono i server ancora non patchati. Questo può essere utile non solo per affrontare la prima emergenza, ma anche per assicurare che in un secondo momento non si presentino sulla rete macchine vulnerabili (es. a causa di immagini disco obsolete).

Il template è applicabile a tutte le macchine Linux dotate di zabbix agent. Può essere collegato al template Linux se ne utilizzate uno (Linked template).

Installazione

L'installazione è semplice:

  1. Scaricare il template: zbx_template_bash_shellshock_test.xml
  2. Importare il template
  3. Applicare il template agli host interessati, oppure linkare il template ad un template esistente
  4. Per gli host non patchati scatterà il trigger "Bash version might be vulnerable to ShellShock" 

Funzionamento del template

Attualmente il funzionamento è abbastanza rudimentale: un item verifica la data del file eseguibile /bin/bash. Un trigger scatta se tale data è precedente al 24 settembre 2014, data della disclosure di ShellShock. Ovviamente questo approccio potrebbe non essere efficace nel caso in cui la data dell'eseguibile è stata modificata, a causa di un touch o di un copy, tuttavia questi casi dovrebbero essere molto rari.

Un secondo item recupera la versione effettiva del pacchetto bash installata sul sistema. Teoricamente sarebbe possibile confrontare questo dato con un elenco delle versioni considerate vulnerabili, ma questo confronto sarebbe molto laborioso e non sempre affidabile.

Gli item vengono calcolati ogni 600 secondi. Si consiglia di portare ad un valore più alto (es. 1 giorno) dopo la prima fase di ricognizione.

Credits: questo template è derivato da http://www.rack.sh/bash_check_template/

Versione: 

Aggiungi un commento

Plain text

  • Nessun tag HTML consentito.
  • Indirizzi web o e-mail vengono trasformati in link automaticamente
  • Linee e paragrafi vanno a capo automaticamente.
CAPTCHA con immagine
Inserire i caratteri mostrati nell'immagine.