Je vous en ai brièvement parlé hier, dans l’alerte de sécurité du 25/09/2014, le bug Bash (ou ShellShoker) est une vulnérabilité grave qui affecte près de 3% des sites Internet. Quand l’on parle de millions de sites Internet, cela fait beaucoup car avec plus d’un Milliard de sites, le nombre de sites Internet évolue en permanence, 3% représente tout de même plus de 30 millions de sites qui sont ou pourraient être victimes du bug.
Bash ShellShocker, une bombe sur Internet?
Bash ShellShoker, l’interpréteur en ligne de commande, est installé par défaut sur tous les systèmes tournant sous UNIX ou Linux (les machines Apple, les serveurs Web, les objets connectés, etc…) . Pour les utilisateurs de Windows, il est comparable à la commande cmd.
Le bug a été découvert par Stephane Schazelas, un français, qui a démontré qu’il était possible de créer des variables d’environnement avec du code malveillant, qui sera exécuté une fois que l’on appelle bash.
En clair, cela signifie que les mesures de sécurité les plus évidentes peuvent être contournées, ce qui augmente grandement la vulnérabilité des serveurs web.
Ce qu’il faut savoir sur le bug Bash ShellShocker
Vous souvenez vous de Heartbleed, en avril dernier ? A en croire le battage médiatique d’aujourd’hui, Bash Shellshocker est de cette lignée, avec un nom tout aussi génial, qu’inquiétant! Mais en toute sincérité, Bash ShellShocker a le potentiel pour devenir quelque chose d’énorme.
Bash Shellshock est une vulnérabilité dans bash shell des systèmes UNIX et Linux (CentOS, Ubuntu, Linux systems, Arch Linux, OS X),qui donne accès à des attaquants pour exécuter des commandes à distance sur un système vulnérable.
Robert Graham, de Errata Security, a montré que moins de 48 heures après la découverte du bug, un robot malveillant exploitait déjà la faille pour infecter des serveurs, la portée de ce problème est donc très importante et qui sait jusqu’où cela pourra aller.
Si vous utilisez un Mac ou une distribution Linux, il y a de très fortes probabilités que votre machine soit vulnérable à ce type d’attaque, à moins que vous ayez déjà installé le correctif partiel.
Pour vérifier si votre machine est concernée, il suffit de taper la ligne de code suivante dans votre terminal :
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
Si le système renvoie :
vulnerable
hello
votre version de bash est vulnérable.
Comme on peut le voir, dans cet exemple, le bug vient du fait que bash va exécuter le code après la définition de la variable (le deuxième point-virgule).
Une personne malveillante peut donc exécuter le code :
env x='() { :;}; rm -rf /' bash -c 'echo hello'\
ce qui effacera tous les fichiers du dossier racine.
C’est un exemple simple qui montre la portée importante de la faille, mais cela montre aussi pourquoi les pirates visent principalement les serveurs web. Mettre en échec un ou plusieurs sites Internet, de préférences des gros sites, est nettement plus intéressant et plus facile que de pirater l’ordinateur de Monsieur Tout-le-Monde.
Le site ShellShocker.net, (site en anglais),vous donnera plus de détails sur comment tester votre système
Qu’en est-il des machines fonctionnant sous Windows ?
Pour une fois, les ordinateurs fonctionnant sous Windows n’ont rien à craindre, quel soulagement! Quoi que ?
Certains composants, non Microsoft, de l’environnement Microsoft sont nécessaires afin de pouvoir accéder aux serveurs web, ces composants ayant des privilèges élevés pour fonctionner malgré les firewall, ils sont potentiellement dangereux.
D’ici à ce qu’ils arrivent aux machines des particuliers il y a encore une marge raisonnable, donc tout ce que l’on sait, c’est qu’on ne sait pas encore.
Tout le monde est à risque
Durant cette période un peu floue, vous risquez d’être victime de tentatives de phishing, jouant sur la peur des utilisateurs d’être infecté, avec des canulars comme celui qui propose aux utilisateurs d’Iphone 6 de mettre leur smartphone dans un four à micro-ondes afin de le recharger plus rapidement.
Ne vous laissez pas berner par de pseudos emails vous proposant une solution efficace et rapide pour corriger le bug Bash ShellShocker.
Les correctifs seront apportés, pour les fabricants de matériels, au travers de mises à jour, et pour les serveurs Web, par les éditeurs de systèmes Unix et les distributions Linux.
En résumé
Selon toute vraisemblance, nous n’avons même pas idée de l’ampleur de cette vulnérabilité. Beaucoup de comparaisons sont faites avec Heartbleed mais le problème est potentiellement pire!
Heartbleed permettait l’accès à distance à de petites quantités de données dans la mémoire des machines concernées, alors que le bug Bash Shellshocker permet l’injection de code à distance, ce qui est potentiellement beaucoup plus grave.
Partagez cette information, elle concerne beaucoup de monde!
Publié à l'origine le : 26 septembre 2014 @ 9 h 20 min
