211service.com
Pourquoi le bug Shellshock est pire que Heartbleed
Mercredi dernier, une grave vulnérabilité logicielle appelée Shellshock a été signalé ; le bogue pourrait être exploité pour compromettre des millions de serveurs et d'autres appareils dans le monde. Nous ne savons toujours pas à quel point le problème sera étendu et coûteux, mais nous savons déjà que Shellshock est plus grave que la vulnérabilité Heartbleed qui a fait l'objet d'une large attention en avril.
Logiciel affecté par Heartbleed utilisé par les serveurs pour chiffrer et sécuriser les communications. La faille permettait aux attaquants d'obtenir des informations sensibles telles que des clés de chiffrement ou des mots de passe de serveurs vulnérables qui pourraient être utilisées pour accéder secrètement au système ultérieurement, par exemple pour voler des données personnelles.
Shellshock permet à un attaquant beaucoup plus de puissance. Ils peuvent l'utiliser pour prendre le contrôle complet d'un système même sans avoir un nom d'utilisateur et un mot de passe. L'exploitation de la vulnérabilité est simple et ne nécessite pas de compétences avancées.
Étant donné qu'un attaquant peut utiliser Shellshock pour exécuter à distance n'importe quel code sur un système, il pourrait être utilisé pour créer un ver auto-répliquant. Il utiliserait un système compromis pour attaquer d'autres systèmes, et ainsi de suite, se propageant sur le réseau et compromettant des centaines ou des milliers de systèmes en peu de temps.
La vulnérabilité Shellshock a été trouvée dans un progiciel appelé Frapper , un interpréteur de ligne de commande, ou shell, qui offre un moyen puissant et flexible d'exécuter des commandes sur un ordinateur. C'est la valeur par défaut pour tous les systèmes d'exploitation basés sur Linux et le Mac OS X d'Apple. Bash est également largement utilisé sur de simples appareils connectés à Internet, dont beaucoup exécutent des versions de Linux, ce qui signifie que non seulement les serveurs pourraient être compromis, mais aussi certains routeurs domestiques, Caméras IP, etc.
Certains périphériques réseau populaires largement utilisés par les entreprises ont déjà été identifiés comme vulnérables. Les appareils mobiles ne sont pas à risque, sauf si vous avez modifié votre appareil Apple ou Android pour mieux contrôler son logiciel.
Shellshock est dangereux car bien que Bash ne soit pas directement exposé à Internet, certains logiciels peuvent utiliser Bash en interne. Par exemple, le logiciel DHCP qui négocie votre connexion à un réseau Wi-Fi peut transmettre des commandes à Bash. Cela signifie qu'une personne disposant d'un système d'exploitation vulnérable (principalement Linux) pourrait être attaquée lors de la connexion à un réseau Wi-Fi non fiable. (Il convient de noter que la connexion à des réseaux Wi-Fi non fiables est toujours un risque.)
Moins d'un jour après que Shellshock ait été signalé, il y avait des preuves qu'il était utilisé pour organiser des attaques dans la nature. Les services de sécurité de l'information de toutes les entreprises et organisations doivent prendre des mesures préventives telles que l'application de correctifs de sécurité et une surveillance étroite des réseaux internes. L'équipe de préparation aux urgences informatiques des États-Unis a émis une alerte , et avec d'autres organisations de sécurité du monde entier, recommande aux utilisateurs et aux administrateurs système d'appliquer les correctifs de sécurité dès que possible.
Cependant, il est encore trop tôt pour dresser une liste exhaustive des appareils concernés qui doivent être mis à jour. Et bien que les chercheurs et les fournisseurs d'appareils publient des détails sur les appareils vulnérables et ceux qui ne le sont pas, pour certains appareils en cours d'utilisation, personne ne vérifiera car ils ne sont plus pris en charge ou la documentation fait défaut.
Plus les systèmes sont identifiés et corrigés rapidement, plus le nombre de compromis de sécurité (et de pertes financières) causés par Shellshock est faible. Il est possible que les effets économiques de ce bogue soient graves car un système compromis peut affecter de nombreuses personnes. Par exemple, un site de commerce électronique compromis pourrait non seulement entraîner une perte de ventes en raison du temps d'arrêt nécessaire au correctif, mais également exposer des millions de détails de carte de crédit, ce qui gênerait les consommateurs.
Cesar Cerrudo est le directeur de la technologie de la société de sécurité informatique Laboratoires IOActive .