Shellshock : Yahoo! Et WinZip auraient été victimes d'attaques par des pirates

Yahoo! dément

Le 2014-10-07 14:39:47, par Cedric Chevalier, Expert éminent sénior

Après Heartbleed, l’univers de la sécurité informatique a été secoué par l’apparition d’une autre menace importante qui touche le populaire interpréteur en ligne de commande Bash, utilisé comme Shell dans plusieurs systèmes d’exploitation.

Cette faille, vieille de 22 ans pratiquement, est très aisée à exploiter, comme a pu le souligner Dan Guido, PDG du cabinet de sécurité Trail of Bit.

Un hacker éthique du nom de Jonathan Hall, s’est mis à la chasse de cette faille dans les serveurs des géants de l’industrie informatique. Parmi les cibles qu’il a visées, on note entre autres Yahoo!, WinZip et Lycos.

Tous les serveurs de ces firmes ont été testés positifs à la faille critique Shellshock. Jonathan Hall affirme même que ces trois plateformes auraient été la cible des pirates roumains, qui ont essayé d’exploiter la vulnérabilité pour infecter des serveurs et créer un réseau de PC zombies.
.
Cependant, les réponses et les réactions des firmes sont très différentes. Winzip a admis la faille de sécurité au niveau de ses serveurs même si le processus a été très lent.

Yahoo! également a reconnu que ses serveurs étaient vulnérables. Mais, s’étonne le hacker, dans leur communication tout se passe comme s’ils étaient au courant de la vulnérabilité depuis le début. Autrement dit, le hacker n’aurait été d’aucune aide dans la détection de la faille de sécurité. Yahoo affirme plutôt qu’il a découvert et corrigé un bug qui n’aurait aucun lien avec Shellshock. Les données des utilisateurs n’auraient pas été affectées.

De l’autre côté, Lycos fait preuve de beaucoup de mauvaise foi, en n’admettant même pas un seul instant avoir été vulnérable à la faille du Bash. De quoi surprendre Jonathan, puisque d’après lui les traces du script perl ha.pl (responsable du succès de l’exploit) sont encore visibles dans le serveur xvisinnow.tripod.com. Mais malgré ça, chez Lycos, on joue les aveugles.

Source : Future South Gazette

Et vous ?

Qu'est-ce qui justifie les comportements différents de ces firmes face à l'annonce de la découverte de la faille dans leurs infrastructures ?

Discussion forum

60 commentaires

elssar
Membre actif

Absolument pas ! La plupart des experts en sécurité ont connaissances du fait que le milieu open source n'est pas fiable à 100%(rien ne l'est en informatique).
C'est pour ça qu'ils mettent en place des process au cas ou leur système est vulnérable, voir au cas ou un pirate s'introduit. Peut-être que certains admin sys pensent à tord que toute est fiable. Mais à mon avis ça ne représente pas la majorité.

Et ça ne remet pas en cause l'open source. Je préfère avoir une faille de temps en temps que beaucoup de failles.

Ah et je ne suis pas vraiment d'accord avec le mythe du "les hackers ne s'intéresse pas à pirater du linux vu la faible part de marché". C'est totalement faux, je suis d'accord pour l'os d'apple. Mais concernant linux il est très très très largement plus répandu que Windows. La majorité des systèmes utilisant un processeur utilise un kernel linux.(distributeur de banque, décodeur tv etc etc).

D'autre part la grande majorité des serveurs sont sur des produits open-source et des distrib linux. Alors certes chez le particulier il est moins répandu. Mais le secteur des ordinateurs perso ne représente pas à lui tout seul les systèmes informatiques. Et je ne parle même pas du prestige. Donc je pense qu'un pirate à aussi toute intérêt à chercher des failles de se côté.

le 08/10/2014 à 12:45
imikado
Rédacteur

Envoyé par persé

je pense qu'avec ces deux grande failles on est arrivé à la fin du mythe que linux et le systéme le plus sécurisé pas de failles pas de virus, la seule chose qui lui a permet de rester peu vulnirable par rapport aux autres systémes est que le hakers ne s'interessaient pas trop à l'attaquer c'est sa part du marché, là avec les declaration de snowden en vie une ruée vers l'open source du coup on s'interesse baucoup plus aux failles qui datent de plus de 22 ans.

Euh, comment dire: autant pour le marché grand public, GNU/linux a une part de marché anecdotique, autant pour les hackeur il est plus fructueux de s'attaquer à des millions de sites webs hebergés sur des serveurs de cette famille qu'à l'ordinateur sous windows de Mme michu

Un hackeur preferera hacker un site banquaire, que le PC d'un de ses clients

le 08/10/2014 à 12:33
imikado
Rédacteur

Pour être bien d'accord:
Si on a un apache utilisant php en "module apache" et non CGI/fast CGI on est à l'abris il me semble : le terminal de www-data etant /bin/sh (dash) et non bash. On est d'accord ?

le 07/10/2014 à 15:19
Shuty
Membre éprouvé

Pour avoir fait un nouvelle installation de debian sur une dédibox, faites attention. La faille est encore dans l'os, il faut donc patcher !

le 30/10/2014 à 10:59
e101mk2
Membre éclairé

======>Debut du troll
Je ne comprend pas un tel raffut pour une faille de securitée.

Comme dit dans les messages precedents, aucun programme ne peut certifier qu'il dispose d'une sécurité parfaite et ceux à tous les niveaux de l'architecture du programme / OS.
Moi ce que je remarque est la rapidité du déploiement de la mise à jour par les grandes distributions.

Parceque entre "la mise à jour à été detecté, mais faudra attendre que windows update vous propose la mise à jours, ou la télécharger directement depuis le site officiel" pour microsoft.
Contre apt-get update && upgrade sur debian...

Pour moi ce raffut n'est là, que pour montrer du doigts la communautée libre, lui arrive de faire des erreurs (c'est humain).
Mais bon, là l'information divague aux scandale alors que je n'ait rien vue de telles sur les failles decouverte regulierement chez les produits Microsoft/Sun/Oracle...
==> fin du troll

le 12/10/2014 à 15:20
abel.cain
Inactif

Envoyé par TiranusKBX

c'est juste une faille comme une autre
déjà pour pouvoir l'utiliser il faudrait que toutes les couche au paravent ne soient pas sécurisées donc peut probable
la méthode d'exploitation est d'une importance cruciale pour ce genre de faille, si l'on ne passe pas les premières lignes de sécurité ça ne feras strictement rien

Jusqu'à présent personne n'avait imaginé qu'il fallait "sécuriser" ces variables d'environnement!

le 22/11/2014 à 4:58
abel.cain
Inactif

Envoyé par imikado

Pour être bien d'accord:
Si on a un apache utilisant php en "module apache" et non CGI/fast CGI on est à l'abris il me semble : le terminal de www-data etant /bin/sh (dash) et non bash. On est d'accord ?

C'est quoi "le terminal de www-data"?

le 22/11/2014 à 5:02
abel.cain
Inactif

Envoyé par Traroth2

Les commentaires n'apprennent pas grand-chose. Donc je suis allé voir la description de la faille, ici.

Effectivement, elle est potentiellement plus sérieuse que ce qui est décrit dans l'article, car un exploit n'a pas besoin de connaitre le nom d'une variable. Il suffit qu'une variable soit settée pour qu'on puisse exécuter du code. Par contre, CGI n'est pas juste un exemple d'angle d'attaque, c'est pratiquement le seul permettant un exploit public.

Le seul sauf tous les autres (DHCP, SMTP, ssh en shell restreint...).

le 22/11/2014 à 5:07
abel.cain
Inactif
Envoyé par xarkam

Sur ubuntu server www-data est positionné comme tel:

Code :

www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
Ce qui n'a pas le moindre rapport avec les failles "Shellshock".
le 22/11/2014 à 5:12
persé
Membre régulier

je pense qu'avec ces deux grande failles on est arrivé à la fin du mythe que linux et le systéme le plus sécurisé pas de failles pas de virus, la seule chose qui lui a permet de rester peu vulnirable par rapport aux autres systémes est que le hakers ne s'interessaient pas trop à l'attaquer c'est sa part du marché, là avec les declaration de snowden en vie une ruée vers l'open source du coup on s'interesse baucoup plus aux failles qui datent de plus de 22 ans.

le 08/10/2014 à 10:22

Poster une réponse