ShellShock : une nouvelle faille pire qu’Heartbleed qui affecte les systèmes Unix, Linux et Mac OS X

Android

Par JDG Media le

Il faut s’attendre à un séisme d’une amplitude inégalée avec la découverte de la faille Shellshock qui affecte les systèmes Unix, Linux et Mac OS X. Selon Trend Micro, elle va impacter près d’un demi-milliard de serveurs web et d’objets connectés tels que les téléphones portables, routers et appareils médicaux.

Alors que la fameuse vulnérabilité HeartBleed n’impactait que la confidentialité des données, les conséquences de la vulnérabilité de la faille Shellshock seront d’autant plus fortes car l’attaque est réalisable via le réseau et permet d’exécuter du code à distance. Un cyber attaquant pourra ainsi impacter l’accessibilité, l’intégrité et la confidentialité des données.

shellshock-usa


Qu’est-ce que bash ?

Bash est à la fois un langage de programmation et ce qu’on appelle un shell. Un shell est une interface qui permet à un humain de dialoguer avec un ordinateur. (au lieu de cliquer sur des icônes et dans des fenêtres, on envoie des commandes à cette interface). Bash est très utilisé sur les serveurs Linux mais on retrouve aussi sur les serveurs Unix et BSD.

Quel est le principe de la vulnérabilité ?

Lors de l’exécution d’un programme bash, ce dernier charge des variables d’environnent. La valeur de cette variable peut être statique, mais bash autorise aussi à charger des fonctions. C’est dans le parsing de cette fonction que réside le problème. En effet un attaquant peut injecter des commandes à la fin de la fonction :

Env_Variable=’() { };

Que faut-il pour la vulnérabilité puisse être exploitée ?

Il faut que bash récupère une variable qui est défini par l’utilisateur. Cette variable peut être récupérée par exemple dans une session SSH, via un client SNMP mais il est probable que le principal vecteur d’exploitation soit le WEB.

Quel est l’impact de cette vulnérabilité ?

L’impact est extrêmement fort, car l’attaque est réalisable via le réseau et elle permet d’exécuter du code à distance. Ce qui permet à un attaquant d’impacter l’accessibilité, l’intégrité et la confidentialité des données. A titre de comparaison, la fameuse vulnérabilité HeartBleed n’impactait que la confidentialité. Et bash est très répandu…