Shell Shock : une faille dans Bash à  la hauteur de Heartbleed (MAJ)

La faille Heartbleed a provoqué un séisme dans le monde de l’Internet qui a rapidement pris conscience du renforcement de la sécurité des solutions Open Source. Aujourd’hui, plusieurs spécialistes alertent sur une nouvelle secousse, Shell Shock. Il s’agit d’une vulnérabilité qui touche l’interpréteur de commande Bash (Bourne again shell) présent dans plusieurs systèmes Linux dont les serveurs web, mais aussi des systèmes d’exploitation comme Mac OS X et les objets connectés.

Le CERT américain a publié un bulletin d’alerte avec le plus haut niveau de gravité (10 sur leur échelle) soit au même niveau que Heartbleed. La faille ne date pas d’aujourd’hui, car elle touche les premières versions de Bash qui ont vu le jour au début des années 90 (il y a 22 ans pour être précis). Pourquoi autant de temps pour trouver cette vulnérabilité  ? «  Il est probable qu’avec le phénomène Heartbleed des sociétés ont éprouvé des solutions qu’ils utilisent quotidiennement et sont donc tombées sur cette faille   », explique Paul-Henri Huckel, expert en sécurité chez Lexsi.

De multiples scénarios d’attaques

Les spécialistes sécurité de Red Hat ont donné des éléments techniques sur les risques de Shell Shock. L’interpréteur de commandes Bash lit et exécute des valeurs d’environnement de certaines applications. L’objectif de la faille est d’arriver à  modifier les variables d’environnement par du code malicieux. Red Hat donne plusieurs types de scénarios utilisant différents vecteurs, comme ForceCommand, via des scripts CGI des serveurs Apache, des clients DHCP et des applications qui utilisent Bash. «  Elles sont plus nombreuses que l’on ne croit. Par exemple, quand vous recevez un mail, le service de messagerie fait des recherches pour savoir s’il s’agit d’un spam. Pour cela, le moteur va regarder les barrières d’environnements que l’interprétateur va lui fournir. Or si les variables ont été modifiées, le message compromis contournera les blocages », constate Paul-Henri Huckel.

Des mises à  jour à  déployer rapidement

La surface d’attaque est donc plus grande que celle de la faille Heartbleed, notamment en comprenant les objets connectés. Des correctifs ont été publiés pour réparer les différentes versions de Bash. Toutes les distributions (Ubuntu, Debian, etc.) ont annoncé leur mise à  jour. Seul Fedora a indiqué que son patch était contournable et prévoit de le corriger très rapidement. «  Les correctifs sont en cours de déploiement. L’installation sur les serveurs et les OS devrait se faire rapidement, mais pour le reste cela prendra un peu plus de temps que sur Heartbleed   », analyse l’expert en sécurité de Lexsi. Le cabinet de conseil a prévenu ses clients des risques et de l’urgence à  mettre à  jour leurs systèmes. «  Le correctif est simple à  mettre en place en modifiant quelques lignes de commande et ne nécessite pas de reboot des systèmes   », rassure Paul-Henri Huckel.

A la question de savoir si la vulnérabilité a déjà  été utilisée, les experts vont prendre un peu de temps pour analyser et auditer certains systèmes pour le savoir. Pour Paul-Henri Huckel, il y a certains éléments à  prendre en compte. « Le code de la faille dans le parser est resté similaire tout au long des années (il n’a donc pas évolué) et il n’y a pas eu d’exploits utilisant cette vulnérabilité dans le forums underground. » L’avenir dira si Shell Shock a fait des dégà¢ts ou non. Il est probable que la Core Iniative Infrastructure, association de plusieurs acteurs IT née après Heartbleed, se saisisse du cas Shell Bash et scrute à  la loupe d’autres éléments Open Source critiques pour leurs services.

MAJ : La réponse sur l’usage de cette faille n’aura pas mis longtemps à  surgir. Un chercheur en sécurité du nom de Yinette a posté sur Twitter un message indiquant avoir trouvé un premier exploit s’appuyant sur Shell Shock. Le CERT Australien a également annoncé sur son site avoir eu des rapports montrant que la vulnérabilité était déjà  exploitée.

crédit photo@isak55-Shutterstock

A lire aussi  :

5 mois après : le bilan de la faille Heartbleed

Près de 320 000 serveurs encore vulnérables à  la faille Heartbleed