ShellShock: devo preoccuparmi di questo su OS X Mavericks?

Il tipo di titolo dice tutto ... Ero in procinto di far apparire un set piuttosto esteso di macchine Mac OS X Server quando ShellShocked ha colpito il mondo. Non appena ho visto le notizie, ho iniziato in fretta a configurare il firewall PF. Probabilmente troppo in fretta, poiché sono riuscito a interrompere molti dei servizi che stavo configurando.

Ora una delle macchine Mac OS X che è stata direttamente esposta a Internet si sta comportando in modo molto strano. Non riesco più ad accedere alla macchina tramite Desktop remoto o la normale finestra di accesso. (Ottengo la finestra di dialogo tremante, come se avessi inserito la password sbagliata.) Eppure posso ancora accedere tramite SSH bene.

Conosco abbastanza bene OS X e non vedo alcun processo dall'aspetto insolito in esecuzione. Quindi, a meno che non ci sia una sorta di kit di root per Mac OS X Mavericks nel mondo, o il mio server Mac Mini abbia appena scelto questo momento per manifestare un qualche tipo di problema hardware, sembra che abbattere il firewall dovrebbe riportarmi nella macchina.

È sicuro?

— Kaelin Colclasure
fonte

Vorrei errare sul versante della cautela e cancellare qualsiasi server su cui si riscontra un comportamento strano che è stato esposto alla rete pubblica in generale senza un firewall di registrazione e / o una sorta di tripwire o scansione di sicurezza impostata per confrontare ciò che è cambiato dall'installazione.

Penso che uno dei miei server OS X sia stato compromesso per la prima volta in assoluto durante questa finestra della vulnerabilità degli script bash. Il tempo impiegato per la ricerca di un kit di root è molto più lungo del tempo impiegato per eseguire un ultimo backup, quindi cancellarlo da un'unità esterna e ricominciare.

Nel mio caso, ho creato un nuovo utente di nome A Lo come utente standard. Abbastanza strano e molto discreto di qualcuno che riesce a ottenere il controllo di un server con un indirizzo IP fisso.

Fondamentalmente, il cappello nero più sofisticato che ha compromesso il tuo computer - meno è probabile che lo noterai dal punto di vista dell'affidabilità - se noti l'instabilità, è probabile che le persone che hanno compromesso il tuo server siano inette o sciatte e che alla fine ti causeranno reinstallare.

Per essere chiari, qualsiasi server nascosto dietro un router con NAT è molto meno vulnerabile di un server che esegue servizi live 24 ore su 24, 7 giorni su 7 con un IPv4 statico reale e nessun firewall. Le persone che eseguono semplicemente OS X non dovrebbero preoccuparsi affatto a meno che non abbiano altri motivi per pensare di essere compromesse.

— bmike
fonte

Sì, un buon punto su NAT, e non voglio allarmare nessuno inutilmente. Per motivi che non entrerò, ho diverse macchine con indirizzi IP pubblici statici. Sono a mio agio con la configurazione di ipfw e stavo cercando di andare avanti nel gioco e adottare PF prima che ipfw venisse gradualmente eliminato nella prossima versione di OS X. Francamente sono per lo più convinto di aver appena nascosto le regole PF di questa macchina in qualche modo. Sto usando lo strumento GUI di IceWall e mette in atto un set di regole abbastanza sofisticato, e sono ancora un modo per comprenderle tutte. Ma poi questo problema di LoginWindow ...

— Kaelin Colclasure

@KaelinColclasure Sei in forma se hai un firewall non ancora ottimizzato. Tutto si interrompe quando si firewall tutto su Mac. Cerca qui tutti i problemi causati da LittleSnitch che è un firewall guidato e ha tonnellate di liste bianche preconfigurate ed è attivamente supportato e aggiornato. Con quel bocconcino, sarei meno titubante nel cancellare e ricominciare da capo. Puoi sempre disconnettere il cavo Internet e testare l'accesso remoto con il firewall abilitato / disabilitato per vedere se hai problemi di sistema operativo o il firewall sta causando il tuo strano comportamento.

— bmike