Article mis à jour le 26/09
Une vulnérabilité critique concernant l’interpréteur de commandes Bash a été publiée hier (CVE-2014-6271). Dans certaines conditions, cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire. Le score CVSS indiquant la gravité de la vulnérabilité est évalué à 10, la note maximale.
Cette vulnérabilité affecte les versions 1.14 à 4.3 de Bash et des attaques sont en cours sur les services vulnérables.
Des correctifs de sécurité ont été publiés mais sont incomplets. Cette nouvelle vulnérabilité a été identifiée sous le numéro CVE-2014-7169.
Quels systèmes sont impactés ?
Les distributions Linux sont les principaux systèmes impactés par la vulnérabilité, car elles intègrent l’interpréteur de commande Bash par défaut. C’est également le cas de Mac OSX, et des utilisateurs de Cygwin sous Windows.
Cependant, de nombreux logiciels et services réalisent des appels système via Bash et sont par conséquent vulnérables.
Il est aujourd’hui confirmé que cette vulnérabilité peut s’exploiter à distance dans certains cas :
- Sur un serveur web pouvant faire appel à Bash (scripts cgi, appels systèmes Python ou PHP).
- Sur un serveur SSH (uniquement après authentification).
- Sur un service DHCP.
Plus généralement tout autre service pouvant faire appel à Bash pourrait être affecté.
Cette faille peut notamment être exploitée afin de réaliser une élévation de privilège sous Mac OSX, qui intègre également Bash par défaut.
Comment vérifier si je suis vulnérable ?
Il est possible d’identifier la vulnérabilité via l’exécution de la commande suivante :
$ env var='() { ignore this:;}; echo vulnerable’ bash -c /bin/true
Dans le cas d’un serveur vulnérable, la commande affichera « vulnerable ».
Attention : cette commande permet de vérifier la bonne application des correctifs disponibles. Cependant, il semblerait que ces correctifs ne mitigent pas l’ensemble des attaques possibles, en particulier l’exploitation locale.
Quelles sont les actions à mener ?
1- Recenser les produits vulnérables
La plupart des systèmes d’exploitation Linux, ainsi que Mac OS X sont affectées par cette vulnérabilité.
Cependant, cette vulnérabilité pourrait également être présente sur d’autres équipements se basant sur des systèmes UNIX. On pense notamment aux appliances réseau et de sécurité, ainsi qu’aux systèmes embarqués.
Il convient de se référer aux bulletins publiés par les éditeurs, lorsqu’ils sont disponibles, pour plus d’informations.
2- Appliquer les correctifs de sécurité
Bien que son efficacité soit partiellement remise en cause, le correctif de sécurité publié pour Bash permettra de se prémunir des attaques distantes les plus communes.
3- Détecter les attaques
Afin de compléter les mécanismes de protection mis en place, il est possible de détecter ou de bloquer les attaques les plus simples via l’utilisation d’équipements de type IDS/IPS.
Certains éditeurs proposent actuellement des signatures spécifiques à cette attaque, qui reposent sur la détection des caractères spéciaux “() {” dans les en-têtes des requêtes http.
Il est également recommandé d’analyser les logs existants pour détecter une exploitation passée de ShellShock.
Ce bulletin sera complété dans les prochains jours. Pour plus de précisions, vous pouvez contacter le CERT-SOLUCOM
