Developpez.com

Une très vaste base de connaissances en informatique avec
plus de 100 FAQ et 10 000 réponses à vos questions

Shellshock : de nouvelles attaques ciblent les serveurs de messagerie
La faille dans Bash continue à faire du bruit

Le , par Hinault Romaric, Responsable .NET
Les chercheurs en sécurité avaient déjà alerté sur cet aspect : du fait que la faille Shellshock date de pratiquement 22 ans, cela augmente considérablement le risque d’avoir des équipements vulnérables. De plus, certains équipements vulnérables n’auront peut-être pas de correctifs, car trop anciens et donc plus mis à jour par leurs fournisseurs.

Cela se confirme. Plus d’un mois après la découverte de la faille, de nombreux équipements sont encore vulnérables et des attaques exploitant la vulnérabilité continuent à émerger sur le Web.

Des nouveaux rapports sur le web font état de la recrudescence d’attaques exploitant Shellshock à destination des passerelles SMTP. Cette nouvelle campagne aurait pour objectif de créer un botnet IRC pour des attaques DDOS et autres.

L’infection d’un système se ferait via l’exécution des scripts Perl. Les pirates exploitent Shellshock comme principal vecteur d’attaque via les champs subject, body, to et from. Les systèmes affectés à leur tour vont tenter de propager l’infection à partir du botnet Perl.

Les utilisateurs sont invités à vérifier si leur système utilisant Bash a bel et bien été patché.

Au vu de la popularité de Bash qui est utilisé comme Shell par défaut dans les systèmes d’exploitation Linux, Unix et dans de nombreux autres outils, la faille Shellshock à sa découverte affectait des millions de PC, Mac, serveurs et routeurs dans le monde.

Cette faille avait été qualifiée de critique par les experts en sécurité. La « National Vulnerability Database » utilisée par le gouvernement américain pour suivre les failles de sécurité informatique, avait donné à Shellshock le score maximal (10/10) pour sa « gravité », son « impact » et son « exploitabilité ».

Des exploits Shellshock ont émergé sur le Web dès les premières heures suivant la découverte de la vulnérabilité. Des pirates avaient développé des outils permettant de procéder à un scan d’Internet pour trouver des serveurs vulnérables, afin de prendre le contrôle de ceux-ci et perpétrer des attaques DDOS.

Source : InfoSec


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Shuty Shuty - Membre éprouvé http://www.developpez.com
le 30/10/2014 à 10:59
Pour avoir fait un nouvelle installation de debian sur une dédibox, faites attention. La faille est encore dans l'os, il faut donc patcher !
Avatar de abel.cain abel.cain - Inactif http://www.developpez.com
le 22/11/2014 à 4:58
Citation Envoyé par TiranusKBX  Voir le message
c'est juste une faille comme une autre
déjà pour pouvoir l'utiliser il faudrait que toutes les couche au paravent ne soient pas sécurisées donc peut probable
la méthode d'exploitation est d'une importance cruciale pour ce genre de faille, si l'on ne passe pas les premières lignes de sécurité ça ne feras strictement rien

Jusqu'à présent personne n'avait imaginé qu'il fallait "sécuriser" ces variables d'environnement!
Avatar de abel.cain abel.cain - Inactif http://www.developpez.com
le 22/11/2014 à 5:02
Citation Envoyé par imikado  Voir le message
Pour être bien d'accord:
Si on a un apache utilisant php en "module apache" et non CGI/fast CGI on est à l'abris il me semble : le terminal de www-data etant /bin/sh (dash) et non bash. On est d'accord ?

C'est quoi "le terminal de www-data"?
Avatar de abel.cain abel.cain - Inactif http://www.developpez.com
le 22/11/2014 à 5:07
Citation Envoyé par Traroth2  Voir le message
Les commentaires n'apprennent pas grand-chose. Donc je suis allé voir la description de la faille, ici.

Effectivement, elle est potentiellement plus sérieuse que ce qui est décrit dans l'article, car un exploit n'a pas besoin de connaitre le nom d'une variable. Il suffit qu'une variable soit settée pour qu'on puisse exécuter du code. Par contre, CGI n'est pas juste un exemple d'angle d'attaque, c'est pratiquement le seul permettant un exploit public.

Le seul sauf tous les autres (DHCP, SMTP, ssh en shell restreint...).
Avatar de abel.cain abel.cain - Inactif http://www.developpez.com
le 22/11/2014 à 5:12
Citation Envoyé par xarkam  Voir le message
Sur ubuntu server www-data est positionné comme tel:
Code : Sélectionner tout
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

Ce qui n'a pas le moindre rapport avec les failles "Shellshock".
Offres d'emploi IT
Assistant chef de projet
BVA - Ile de France - Boulogne-Billancourt (92100)
Futurs ingénieurs informatique H/F
Adaming - Ile de France - Paris (75000)
1 lead développeur informatique (h/f)
ELYOS / CAPLINE - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil