IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Shellshock : de nouvelles attaques ciblent les serveurs de messagerie
La faille dans Bash continue à faire du bruit

Le , par Hinault Romaric
60 commentaires

108PARTAGES

5  0 
Les chercheurs en sécurité avaient déjà alerté sur cet aspect : du fait que la faille Shellshock date de pratiquement 22 ans, cela augmente considérablement le risque d’avoir des équipements vulnérables. De plus, certains équipements vulnérables n’auront peut-être pas de correctifs, car trop anciens et donc plus mis à jour par leurs fournisseurs.

Cela se confirme. Plus d’un mois après la découverte de la faille, de nombreux équipements sont encore vulnérables et des attaques exploitant la vulnérabilité continuent à émerger sur le Web.

Des nouveaux rapports sur le web font état de la recrudescence d’attaques exploitant Shellshock à destination des passerelles SMTP. Cette nouvelle campagne aurait pour objectif de créer un botnet IRC pour des attaques DDOS et autres.

L’infection d’un système se ferait via l’exécution des scripts Perl. Les pirates exploitent Shellshock comme principal vecteur d’attaque via les champs subject, body, to et from. Les systèmes affectés à leur tour vont tenter de propager l’infection à partir du botnet Perl.

Les utilisateurs sont invités à vérifier si leur système utilisant Bash a bel et bien été patché.

Au vu de la popularité de Bash qui est utilisé comme Shell par défaut dans les systèmes d’exploitation Linux, Unix et dans de nombreux autres outils, la faille Shellshock à sa découverte affectait des millions de PC, Mac, serveurs et routeurs dans le monde.

Cette faille avait été qualifiée de critique par les experts en sécurité. La « National Vulnerability Database » utilisée par le gouvernement américain pour suivre les failles de sécurité informatique, avait donné à Shellshock le score maximal (10/10) pour sa « gravité », son « impact » et son « exploitabilité ».

Des exploits Shellshock ont émergé sur le Web dès les premières heures suivant la découverte de la vulnérabilité. Des pirates avaient développé des outils permettant de procéder à un scan d’Internet pour trouver des serveurs vulnérables, afin de prendre le contrôle de ceux-ci et perpétrer des attaques DDOS.

Source : InfoSec

Une erreur dans cette actualité ? Signalez-nous-la !

60 commentaires
Commenter Signaler un problème
Shuty
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 30/10/2014 à 10:59
Pour avoir fait un nouvelle installation de debian sur une dédibox, faites attention. La faille est encore dans l'os, il faut donc patcher !
1  0 
abel.cain
Avatar de abel.cain
Inactif https://www.developpez.com
Le 22/11/2014 à 4:58
Citation Envoyé par TiranusKBX Voir le message
c'est juste une faille comme une autre
déjà pour pouvoir l'utiliser il faudrait que toutes les couche au paravent ne soient pas sécurisées donc peut probable
la méthode d'exploitation est d'une importance cruciale pour ce genre de faille, si l'on ne passe pas les premières lignes de sécurité ça ne feras strictement rien
Jusqu'à présent personne n'avait imaginé qu'il fallait "sécuriser" ces variables d'environnement!
0  0 
abel.cain
Avatar de abel.cain
Inactif https://www.developpez.com
Le 22/11/2014 à 5:02
Citation Envoyé par imikado Voir le message
Pour être bien d'accord:
Si on a un apache utilisant php en "module apache" et non CGI/fast CGI on est à l'abris il me semble : le terminal de www-data etant /bin/sh (dash) et non bash. On est d'accord ?
C'est quoi "le terminal de www-data"?
0  0 
abel.cain
Avatar de abel.cain
Inactif https://www.developpez.com
Le 22/11/2014 à 5:07
Citation Envoyé par Traroth2 Voir le message
Les commentaires n'apprennent pas grand-chose. Donc je suis allé voir la description de la faille, ici.

Effectivement, elle est potentiellement plus sérieuse que ce qui est décrit dans l'article, car un exploit n'a pas besoin de connaitre le nom d'une variable. Il suffit qu'une variable soit settée pour qu'on puisse exécuter du code. Par contre, CGI n'est pas juste un exemple d'angle d'attaque, c'est pratiquement le seul permettant un exploit public.
Le seul sauf tous les autres (DHCP, SMTP, ssh en shell restreint...).
0  0 
abel.cain
Avatar de abel.cain
Inactif https://www.developpez.com
Le 22/11/2014 à 5:12
Citation Envoyé par xarkam Voir le message
Sur ubuntu server www-data est positionné comme tel:
Code : Sélectionner tout 
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
Ce qui n'a pas le moindre rapport avec les failles "Shellshock".
0  0