Shellshock : Yahoo! Et WinZip auraient été victimes d'attaques par des pirates

Yahoo! dément

Linux et Unix affectés par une faille critique dans Bash
la vulnérabilité pourrait constituer une plus grande menace que Heartbleed

La découverte d’une nouvelle faille critique qui affecte Linux et Unix vient à nouveau secouer l’univers de la sécurité informatique.

La vulnérabilité toucherait le populaire interpréteur en ligne de commande Bash (Bourne-Again shell). Découverte par le chercheur en sécurité Stephane Chazelas, la faille toucherait toutes les versions antérieures à la version 4.3.

Cette faille, selon les experts en sécurité, pourrait constituer une plus grande menace que la faille Heartbleed, qui avait été découverte en avril dernier dans l’outil de sécurité OpenSSL. Bash est utilisé comme Shell par défaut dans de nombreux systèmes d’exploitation Unix, y compris OS X, et Linux.

La faille pourrait donc affecter de nombreux PC, Mac, serveurs et routeurs. En cas d’exploit, un pirate pourrait prendre le contrôle intégral de ces équipements, accéder à des informations confidentielles, procéder à des modifications sur l’OS, etc. Selon les chercheurs en sécurité, les serveurs Web, dont Apache en particulier, pourraient être compromis via des scripts CGI (Common-Gateway Interface) ou des requêtes HTTP qui font appel à Bash. OpenSSH et DHCP sont également touchés sur les machines qui utilisent Bash.

La faille, qui serait présente dans Bash depuis pratiquement 22 ans, réside au niveau de la manipulation des variables d’environnement dans Bash. Avec des variables spécialement conçues, un pirate pourrait utiliser cette vulnérabilité pour exécuter à distance des commandes Shell.

« Heartbleed permettait aux pirates d’espionner un ordinateur, mais pas d’en prendre le contrôle », explique Dan Guido, PDG du cabinet de sécurité Trail of Bits. « La méthode d’exploitation de cette faille est également beaucoup plus simple. Avec un simple copier/coller d’une ligne de code, vous pouvez obtenir de bons résultats. »

Pour pirater un équipement à distance, le pirate devrait donc être en mesure d’injecter des données dans les requêtes des applications qui appellent des commandes Shell Bash. Les conséquences peuvent être désastreuses pour un serveur si les applications nécessitent des scripts exécutés avec des permissions root. « Si c’est le cas, votre agresseur pourrait assassiner votre serveur », mettent en garde les experts en sécurité.

Une preuve de faisabilité qui utilise des scripts CGI pour exécuter du code avec les mêmes privilèges que le serveur Web est déjà disponible sur Internet. Vous pouvez vérifier si votre système est vulnérable en exécutant les commandes suivantes dans votre Shell. Si le mot « busted » est affiché à l’écran, alors votre système est vulnérable.

Des correctifs pour cette faille auraient déjà été publiés pour toutes les versions de Bash affectées. Il est conseillé de les appliquer sur tous les systèmes disposant de Bash. Actuellement, il semblerait que seuls Red Hat et Debian aient proposé des patchs pour leur OS. Apple ne s’est pas encore manifesté en ce qui concerne OS X.

Source : SecLists

Et vous ?

Qu'en pensez-vous ?