La faille dans Bash, baptisée « Shellshock », est actuellement le sujet chaud dans le monde de la sécurité informatique.Cette faille touche les systèmes d’exploitation Linux et Unix, y compris éventuellement OS X. Elle affecte donc des millions de PC, Mac, serveurs et routeurs dans le monde. Selon des estimations, Shellshock pourrait affecter près de 70 % des serveurs Web.
Shellshock se situe au niveau de la manipulation des variables d’environnement dans Bash. Avec des variables spécialement conçues, un pirate pourrait utiliser cette vulnérabilité pour exécuter à distance des commandes Shell. « Lors de l’exécution d’un programme Bash, ce dernier charge des variables d’environnement. La valeur de ces variables peut être statique, mais Bash autorise aussi à charger des fonctions. C’est dans le parsing de cette fonction que réside le problème. En effet, un attaquant peut injecter des commandes à la fin de la fonction », explique Trend Micro.
Shellshock : une faille d’une grande gravité
Shellshock a été rapidement rapprochée de la faille Heartbleed, qui avait touché OpenSSL en avril dernier et avait fait trembler le Web. Plusieurs chercheurs en sécurité s’accordent même sur le fait que cette faille représenterait une menace plus importante que Heartbleed.
Alors que Heartbleed pouvait être utilisée pour le vol de données personnelles, Shellshock, quant à elle, permettrait de causer encore plus de dégâts. Un exploit pourrait permettre de prendre le contrôle intégral des équipements affectés, d'accéder à des informations confidentielles, de procéder à des modifications sur l’OS, etc. La faille existerait dans le Shell de Linux depuis pratiquement 20 ans.
La « National Vulnerability Database », un système utilisé par le gouvernement américain pour suivre les failles de sécurité informatiques, a donné à cette vulnérabilité le score maximal (10/10) pour sa « gravité », son « impact » et son « exploitabilité ». De plus, la faille a été étiquetée comme « très simple à exploiter ». « Avec un simple copier/coller d’une ligne de code, vous pouvez obtenir de bons résultats », avait affirmé Dan Guido, PDG du cabinet de sécurité Trail of Bits.
Des correctifs incomplets
A la suite de la divulgation de cette faille, des correctifs ont été immédiatement publiés par les développeurs de l’outil. Plusieurs fournisseurs de systèmes d’exploitation Linux, notamment Red Hat, Debian et CentOS, ont mis à la disposition des utilisateurs des patchs.
Cependant, des chercheurs en sécurité ont découvert des failles dans ces mises à jour. Les correctifs ne permettraient donc pas de protéger complètement Bash des injections de code via les variables d’environnement. De plus, les correctifs seraient sujets à une exception « null-pointer » pouvant entrainer un crash de l’outil.
Bien que les correctifs soient marqués comme incomplets, il est néanmoins conseillé de les appliquer, le temps que de nouveaux correctifs soient disponibles.
La faille déjà exploitée par des pirates
Shellshock serait déjà exploitée par des pirates. Des chercheurs en sécurité auraient identifié des vers informatiques qui se propageraient assez rapidement pour analyser les systèmes vulnérables et les infecter.
Le cabinet de sécurité Kaspersky Lab affirme avoir découvert un ver informatique qui exploite cette faille pour infecter des ordinateurs. Le malware serait capable de prendre le contrôle d’une machine affectée, de lancer des attaques DOS (déni de service) pour perturber des sites Web et de scanner un réseau pour trouver les autres équipements vulnérables, y compris des routeurs.
D’autres rapports font état de l’utilisation du botnet « wopbot » (qui exploite également Shellshock) par des pirates pour essayer de créer un réseau de zombies et infecter des serveurs vulnérables. Le botnet procéderait à un scan d’Internet pour trouver des serveurs vulnérables. Les pirates derrière « wopbot » auraient lancé une attaque DOS contre les serveurs hébergés par Akamai Technologies, société américaine spécialisée dans la mise à disposition de serveurs de cache pour les entreprises.
« Avec honeypot, nous avons trouvé plusieurs machines qui tentent d’exploiter la vulnérabilité Bash », a déclaré Jamie Blasco, directeur du laboratoire de sécurité AlienVault. « La majorité d’entre elles est utilisée pour vérifier si des systèmes sont vulnérables. D’autre part, nous avons trouvé deux vers qui exploitent activement la vulnérabilité pour installer des logiciels malveillants sur les systèmes affectés. Les équipements infectés sont contrôlés par des serveurs de C&C pour effectuer essentiellement des attaques DoS. »
Pour l’instant, le moyen de se protéger est de patcher en urgence ses serveurs, même si les patchs sont incomplets.
Envoyé par persé
