Le séisme « Shellshock » secoue depuis quelques jours le Web. Le sujet est actuellement sur toutes les lèvres dans le monde de la sécurité informatique et même au-delà. Shellshock est considérée comme plus désastreuse qu’Heartbleed, qui était pourtant l’une des pires failles qu’auraient connu Internet.
La vulnérabilité touche l’interpréteur en ligne de commande Bash qui est utilisé comme Shell par défaut par les systèmes d’exploitation Linux et Unix. La « National Vulnerability Database » utilisée par le gouvernement américain pour suivre les failles de sécurité informatique, a donné à cette vulnérabilité le score maximal (10/10) pour sa « gravité », son « impact » et son « exploitabilité ».
En moins d’un an, l’univers de l’open source et Internet se retrouvent agiter à deux reprises par des vulnérabilités dans deux outils massivement utilisés. Deux situations qui mettent en exergue le risque d’une utilisation trop importante d’une même technologie.
Dans l’optique d’apporter plus de détails sur cette faille, les mesures à prendre pour se protéger, les implications, etc. la rédaction de Developpez.com s’est entretenue avec Thierry Karsenti, Directeur Technique Europe chez Check Point, fournisseur des solutions de sécurité du système d’information.
Developpez.com : Pouvez-vous revenir en détail sur cette vulnérabilité et son principe ?
Thierry Karsenti : La vulnérabilité découverte touche BASH, un interpréteur de ligne de commande présent sur des millions d’équipements informatiques (Linux, Mac OS, routeurs, serveurs web, caméras IP et autres objets connectés, etc.). Cette vulnérabilité est présente depuis une vingtaine d’années, et consiste à abuser d’un bug pour exécuter à distance un code malveillant.
Developpez.com : Quel est l’impact de cette faille et comment un pirate peut-il l’exploiter ?
Thierry Karsenti : L’attaque est très simple à mettre en œuvre, facilement automatisable, et aux conséquences désastreuses, puisqu’elle permet de prendre le contrôle complet du système vulnérable. Cela ouvre donc la voie à l’espionnage massif, le vol ou la destruction de données, la mise à mal des infrastructures critiques…
Developpez.com : Comment vérifier que son équipement est vulnérable ?
Thierry Karsenti : Une simple ligne de commande permet de tester son système. De nombreux exemples circulent sur Internet pour pouvoir faire soi-même la vérification. Une autre approche est de solliciter son fournisseur d’équipement pour savoir s’il est vulnérable ou non. Enfin, il existe déjà des outils qui permettent de scanner son système d’information à la recherche d’équipements vulnérables.
Pour rappel, si vous souhaitez vérifier si votre système est vulnérable, vous pouvez utiliser la ligne de code suivante :
Si votre système est vulnérable, vous obtiendrez en sortie :
vulnérable
ceci est un test
| Code : | Sélectionner tout |
env x='() { :;}; echo vulnérable' bash -c "echo ceci est un test"
vulnérable
ceci est un test
Developpez.com : Quels sont les risques pour les serveurs vulnérables ?
Thierry Karsenti : Les risques sont majeurs puisque l’attaquant peut prendre entièrement le contrôle de l’équipement.
Developpez.com : Qu'est-ce qui rend Shellshock plus grave que Heartbleed ?
Thierry Karsenti : Heartbleed concernait des versions logicielles des 2 dernières années. Shellshock concerne toutes les versions de BASH, et offre une surface d’attaque bien supérieure. Tous les vecteurs d’attaque ne sont d’ailleurs pas encore pleinement connus.
Developpez.com : Le bug est présent depuis 22 ans. Qu’est-ce que cela implique ?
Thierry Karsenti : Cela augmente considérablement le risque d’avoir des équipements vulnérables dans son système d’information. Par ailleurs, certains équipements vulnérables n’auront peut-être pas de correctifs, car trop anciens et donc plus mis à jour par leurs fournisseurs (même si les clients continuent pour certains de les utiliser…).
Developpez.com : Avez-vous observé des attaques qui exploitent cette faille ?
Thierry Karsenti : Il y a de nombreux scanners pour tester en masse les vulnérabilités d’équipements sur Internet. Certains d’entre eux ne se contentent pas de détecter les vulnérabilités, mais prennent le contrôle des systèmes identifiés comme vulnérables et installent un cheval de Troie (bot).
Developpez.com : Quelles mesures devraient prendre les administrateurs pour se protéger ?
Thierry Karsenti : Il est urgent de faire l’inventaire des systèmes vulnérables, et planifier le plus rapidement possible une mise à jour. En parallèle, il convient d’utiliser des solutions de sécurité type prévention d’intrusion pour minimiser le risque et gagner du temps dans cette course contre la montre.
Developpez.com : Deux failles graves la même année dans des outils open source très utilisés. Cela remet-il en question la sécurité des solutions open source ?
Thierry Karsenti : Plus que l’open source, cela met en exergue le risque d’utilisation massive d’une même technologie, d’un même code, ou d’une même application. Cela était vrai quand Windows était omniprésent (Microsoft était alors souvent pointé du doigt sur le banc des accusés), cela touche aujourd’hui naturellement le logiciel libre qui est d’une certaine manière victime de son succès !
Envoyé par Thomas404
avec un contenu malicieux. Ce contenu se retrouvera sur le serveur dans une variable du genre HTTP_USER_AGENT. Elle sera interprétée par BASH comme décrit ci-dessus, menant à l'exécution du code malicieux. L'impact de ce dernier dépend du contexte d'exécution du serveur HTTP. Gare s'il tourne en root!