3 octobre 2014
Commentaires : 0

Shellshock, une faille qui suscite des interrogations

Une fois n’est pas coutume, aujourd’hui nous nous glissons (par l’intermédiaire de notre expert sécurité) dans l’univers de l’open source pour nous intéresser à la faille Shellshock qui fait trembler depuis une semaine le monde du développement libre.

Petite explication : Bash est un interpréteur de commandes (shell) historiquement présent sur les systèmes *Nix (Linux, BSD, Unix, OSX pour ne citer qu’eux).

La faille consiste en la possibilité de faire exécuter des commandes à distance après l’appel d’une fonction du shell qui laisse un canal ouvert.

Toute interaction avec le shell d’une machine utilisateur ou d’un serveur permet donc l’exécution de commandes additionnelles à cet appel primaire.

C’est ainsi exploitable sur n’importe quelle machine web appelant le shell (exemple des .cgi s’appuyant sur un shell bash, du client DHCP appliquant la directive 114 du serveur DHCP qu’il interroge, etc.)

Il faut savoir que Bash est déjà patché (et re-re-re patché) sur Debian et RedHat, et que tous les grands acteurs du marché sont réactifs, comme Apple qui a patché son OS X il y a quelques jours.

Ce qui est par contre plus intrigant, c’est l’ancienneté de cette faille, à savoir bientôt 22ans. Impossible donc de croire qu’elle n’est pas massivement exploitée depuis longtemps, compte tenu de sa facilité de mise en évidence…

A noter que la problématique majeure de Shellshock réside en sa large répartition entre les serveurs, les équipements réseaux / systèmes embarqués, etc. qui fait que son éradication risque d’être longue !

La société de sécurité russe Kaspersky a d’ailleurs déjà souligné que de nombreux dégâts seront irréparables, notamment sur tout ce qui se rapporte aux appareils de l’internet des objets « (…) dont les logiciels sont installés une fois pour toutes, sans possibilité de mises à jour ni d’introduction de patchs ».

Pour tester la vulnérabilité de vos systèmes, nous vous invitons à utiliser ce script :

http://www.vita2.fr/wp-content/acesi-securite/shellshock_test.sh | bash , dont la sortie souhaitée est la suivante :

CVE-2014-6271 (original shellshock): not vulnerable
bash: shellshocker : commande introuvable
CVE-2014-6278 (Florian’s patch): not vulnerable
CVE-2014-7169 (taviso bug): not vulnerable
CVE-2014-//// (exploit 3 ): not vulnerable
CVE-2014-7186 (redir_stack bug): not vulnerable
CVE-2014-7187 (nested loops off by one): not vulnerable

Si vous avez la moindre question, n’hésitez pas à nous contacter sur le sujet.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *