Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Shellshock : la faille dans Bash exploitée par des pirates
Les correctifs publiés seraient incomplets

Le , par Hinault Romaric

16PARTAGES

7  1 
La faille dans Bash, baptisée « Shellshock », est actuellement le sujet chaud dans le monde de la sécurité informatique.

Cette faille touche les systèmes d’exploitation Linux et Unix, y compris éventuellement OS X. Elle affecte donc des millions de PC, Mac, serveurs et routeurs dans le monde. Selon des estimations, Shellshock pourrait affecter près de 70 % des serveurs Web.

Shellshock se situe au niveau de la manipulation des variables d’environnement dans Bash. Avec des variables spécialement conçues, un pirate pourrait utiliser cette vulnérabilité pour exécuter à distance des commandes Shell. « Lors de l’exécution d’un programme Bash, ce dernier charge des variables d’environnement. La valeur de ces variables peut être statique, mais Bash autorise aussi à charger des fonctions. C’est dans le parsing de cette fonction que réside le problème. En effet, un attaquant peut injecter des commandes à la fin de la fonction », explique Trend Micro.

Shellshock : une faille d’une grande gravité

Shellshock a été rapidement rapprochée de la faille Heartbleed, qui avait touché OpenSSL en avril dernier et avait fait trembler le Web. Plusieurs chercheurs en sécurité s’accordent même sur le fait que cette faille représenterait une menace plus importante que Heartbleed.

Alors que Heartbleed pouvait être utilisée pour le vol de données personnelles, Shellshock, quant à elle, permettrait de causer encore plus de dégâts. Un exploit pourrait permettre de prendre le contrôle intégral des équipements affectés, d'accéder à des informations confidentielles, de procéder à des modifications sur l’OS, etc. La faille existerait dans le Shell de Linux depuis pratiquement 20 ans.

La « National Vulnerability Database », un système utilisé par le gouvernement américain pour suivre les failles de sécurité informatiques, a donné à cette vulnérabilité le score maximal (10/10) pour sa « gravité », son « impact » et son « exploitabilité ». De plus, la faille a été étiquetée comme « très simple à exploiter ». « Avec un simple copier/coller d’une ligne de code, vous pouvez obtenir de bons résultats », avait affirmé Dan Guido, PDG du cabinet de sécurité Trail of Bits.

Des correctifs incomplets

A la suite de la divulgation de cette faille, des correctifs ont été immédiatement publiés par les développeurs de l’outil. Plusieurs fournisseurs de systèmes d’exploitation Linux, notamment Red Hat, Debian et CentOS, ont mis à la disposition des utilisateurs des patchs.

Cependant, des chercheurs en sécurité ont découvert des failles dans ces mises à jour. Les correctifs ne permettraient donc pas de protéger complètement Bash des injections de code via les variables d’environnement. De plus, les correctifs seraient sujets à une exception « null-pointer » pouvant entrainer un crash de l’outil.

Bien que les correctifs soient marqués comme incomplets, il est néanmoins conseillé de les appliquer, le temps que de nouveaux correctifs soient disponibles.

La faille déjà exploitée par des pirates

Shellshock serait déjà exploitée par des pirates. Des chercheurs en sécurité auraient identifié des vers informatiques qui se propageraient assez rapidement pour analyser les systèmes vulnérables et les infecter.

Le cabinet de sécurité Kaspersky Lab affirme avoir découvert un ver informatique qui exploite cette faille pour infecter des ordinateurs. Le malware serait capable de prendre le contrôle d’une machine affectée, de lancer des attaques DOS (déni de service) pour perturber des sites Web et de scanner un réseau pour trouver les autres équipements vulnérables, y compris des routeurs.

D’autres rapports font état de l’utilisation du botnet « wopbot » (qui exploite également Shellshock) par des pirates pour essayer de créer un réseau de zombies et infecter des serveurs vulnérables. Le botnet procéderait à un scan d’Internet pour trouver des serveurs vulnérables. Les pirates derrière « wopbot » auraient lancé une attaque DOS contre les serveurs hébergés par Akamai Technologies, société américaine spécialisée dans la mise à disposition de serveurs de cache pour les entreprises.

« Avec honeypot, nous avons trouvé plusieurs machines qui tentent d’exploiter la vulnérabilité Bash », a déclaré Jamie Blasco, directeur du laboratoire de sécurité AlienVault. « La majorité d’entre elles est utilisée pour vérifier si des systèmes sont vulnérables. D’autre part, nous avons trouvé deux vers qui exploitent activement la vulnérabilité pour installer des logiciels malveillants sur les systèmes affectés. Les équipements infectés sont contrôlés par des serveurs de C&C pour effectuer essentiellement des attaques DoS. »

Pour l’instant, le moyen de se protéger est de patcher en urgence ses serveurs, même si les patchs sont incomplets.

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de elssar
Membre actif https://www.developpez.com
Le 08/10/2014 à 12:45
Absolument pas ! La plupart des experts en sécurité ont connaissances du fait que le milieu open source n'est pas fiable à 100%(rien ne l'est en informatique).
C'est pour ça qu'ils mettent en place des process au cas ou leur système est vulnérable, voir au cas ou un pirate s'introduit. Peut-être que certains admin sys pensent à tord que toute est fiable. Mais à mon avis ça ne représente pas la majorité.

Et ça ne remet pas en cause l'open source. Je préfère avoir une faille de temps en temps que beaucoup de failles.

Ah et je ne suis pas vraiment d'accord avec le mythe du "les hackers ne s'intéresse pas à pirater du linux vu la faible part de marché". C'est totalement faux, je suis d'accord pour l'os d'apple. Mais concernant linux il est très très très largement plus répandu que Windows. La majorité des systèmes utilisant un processeur utilise un kernel linux.(distributeur de banque, décodeur tv etc etc).

D'autre part la grande majorité des serveurs sont sur des produits open-source et des distrib linux. Alors certes chez le particulier il est moins répandu. Mais le secteur des ordinateurs perso ne représente pas à lui tout seul les systèmes informatiques. Et je ne parle même pas du prestige. Donc je pense qu'un pirate à aussi toute intérêt à chercher des failles de se côté.
5  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 08/10/2014 à 12:33
Citation Envoyé par persé Voir le message
je pense qu'avec ces deux grande failles on est arrivé à la fin du mythe que linux et le systéme le plus sécurisé pas de failles pas de virus, la seule chose qui lui a permet de rester peu vulnirable par rapport aux autres systémes est que le hakers ne s'interessaient pas trop à l'attaquer c'est sa part du marché, là avec les declaration de snowden en vie une ruée vers l'open source du coup on s'interesse baucoup plus aux failles qui datent de plus de 22 ans.
Euh, comment dire: autant pour le marché grand public, GNU/linux a une part de marché anecdotique, autant pour les hackeur il est plus fructueux de s'attaquer à des millions de sites webs hebergés sur des serveurs de cette famille qu'à l'ordinateur sous windows de Mme michu

Un hackeur preferera hacker un site banquaire, que le PC d'un de ses clients
4  0 
Avatar de kOrt3x
Modérateur https://www.developpez.com
Le 29/09/2014 à 23:56
Apple vient de mettre à disposition des correctifs pour OS X :

OS X bash Update 1.0 - OS X Lion
OS X bash Update 1.0 – OS X Mountain Lion
OS X bash Update 1.0 – OS X Mavericks

Apparemment, pas de mises à jour pour les versions antérieurs à 10.7 et pas de correctif pour la prochaine version de OS X Yosemite, elle serait directement intégrée.
3  0 
Avatar de anykeyh
Membre confirmé https://www.developpez.com
Le 26/09/2014 à 12:22
Effectivement cette faille est grave. Et pas besoin d'être connecté en root, pour par exemple lancer un service telnet sur un port qui ne serait pas firewallé, donnant un accès... et lire le contenu des fichiers de configuration de la base de donnée par exemple, récuperer des infos importantes comme des mots de passe ou reinitialiser un mot de passe en particulier pour acceder au compte etc...

ça permet aussi d'installer incognito des clients http qui transformerons le serveur en puissante machine pour du DDoS, avec un c&c sur twitter par exemple...

Pour tout ça vraiment pas besoin d'accès root...

Et les services CGI, principaux services visés par cette faille, sont assez nombreux, ne serait-ce que les configuration de php ou ruby en fastcgi / cgi-bin.

Les variables d'environnement sont settés pour par exemple màpper les headers http vers le service cgi. Envoyer ça a un script cgi executera le code:

Code : Sélectionner tout
1
2
curl --header "Cookie: () {:;}; echo 'vul' > /tmp/vulnerability" --header "Host: () {:;}; echo 'vulnerable' > /tmp/vulnerability" --header "Referer: () {:;}; echo 'vulnerable' > /tmp/vulnerability" monsite.com/un-service-cgi
Bref alarmiste, effectivement il y a de quoi!

Vive nginx en mode reverse proxy et ton serveur d'application sur un port bindé en local, ça évite déjà pas mal d'attaques de bases!
2  0 
Avatar de anykeyh
Membre confirmé https://www.developpez.com
Le 26/09/2014 à 13:45
Citation Envoyé par mapmip Voir le message
question de noob,
comment appliquer ce patch :
http://lists.gnu.org/archive/html/bu.../msg00083.html
Merci d'avance
En fonction de ta machine, globalement les paquets avec le fix sont déjà dans les repositories, genre pour une debian
un simple "apt-get install bash" devrait résoudre le probleme. Enfin, pour repondre a un 'noob' (par un autre noob), je ne m'aventurerais pas a recompiler le bash avec un patch...

C'est comme recompiler ssh-deamon à distance, tu risque de perdre les acces à ta machine

Sinon http://jungels.net/articles/diff-pat...n-minutes.html

./configure && make && make install

etc... Mais je recommande pas
1  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 07/10/2014 à 15:19
Pour être bien d'accord:
Si on a un apache utilisant php en "module apache" et non CGI/fast CGI on est à l'abris il me semble : le terminal de www-data etant /bin/sh (dash) et non bash. On est d'accord ?
1  0 
Avatar de Shuty
Membre éprouvé https://www.developpez.com
Le 30/10/2014 à 10:59
Pour avoir fait un nouvelle installation de debian sur une dédibox, faites attention. La faille est encore dans l'os, il faut donc patcher !
1  0 
Avatar de _Von_
Membre régulier https://www.developpez.com
Le 26/09/2014 à 13:35
Citation Envoyé par Hinault Romaric Voir le message


« Avec honeypot, nous avons trouvé plusieurs machines qui tentent d’exploiter la vulnérabilité Bash », a déclaré Jamie Blasco, directeur du laboratoire de sécurité AlienVault. « La majorité d’entre elles est utilisée pour vérifier si des systèmes sont vulnérables. D’autre part, nous avons trouvé deux vers qui exploitent activement la vulnérabilité pour installer des logiciels malveillants sur les systèmes affectés. Les équipements infectés sont contrôlés par des serveurs de C&C pour effectuer essentiellement des attaques DoS. »
C'est du pinaillage mais je préfère le signaler, honeypot n'est pas un logiciel ou un système !
Il s'agit d'une méthode de défense que l'on peut qualifier d'active. Le but est de mettre en place un leurre pour attirer les personnes malveillantes dessus et voir, entre autres, comment l'attaquant va faire pour essayer de compromettre le système cible. A partir des données collectées, on a la possibilité de renforcer la sécurité du réseau et de se prémunir contre de futures attaques !
1  1 
Avatar de mapmip
Membre averti https://www.developpez.com
Le 26/09/2014 à 13:41
question de noob,
comment appliquer ce patch :
http://lists.gnu.org/archive/html/bu.../msg00083.html
Merci d'avance
0  0 
Avatar de mapmip
Membre averti https://www.developpez.com
Le 26/09/2014 à 13:47
Citation Envoyé par anykeyh Voir le message
En fonction de ta machine, globalement les paquets avec le fix sont déjà dans les repositories, genre pour une debian
un simple "apt-get install bash" devrait résoudre le probleme. Enfin, pour repondre a un 'noob' (par un autre noob), je ne m'aventurerais pas a recompiler le bash avec un patch...

C'est comme recompiler ssh-deamon à distance, tu risque de perdre les acces à ta machine
je suis sur centos 6, j'ai fait yum update bash, ca me réinstalle la 4.1.2 datant de 2009...
0  0