Découverte la semaine dernière, la faille Bash a fait l’objet d’un correctif rapide de la part des concepteurs de ce « shell » mais également dans quelques-unes des distributions les plus répandues comme Red Hat ou Debian. Toutefois, le fait que ces distributions intègrent le « patch » ne signifie absolument pas que la dite distribution est installée sur les serveurs.

Aussi depuis ce week-end on voit fleurir de par le monde un nombre incroyable de malwares qui tentent d’exploiter cette vulnérabilité, le tout pouvant avoir des conséquences dramatiques en termes de piratage de données. En effet, dans certains cas, cette faille de Bash permet de prendre le contrôle du serveur voire de placer des malwares discrets qui permettront de prendre le contrôle ultérieurement, que la faille ait été corrigée ou pas.
L’un des rapports les plus alarmistes a été rédigé ce week-end par la société FireEye. Il est accessible à cette adresse. FireEye indique avoir découvert de nombreuses tentatives d’exploitation de la faille au travers de malwares, de portes dérobées ou « reverse shells », d’exfiltration de données et d’attaques en déni de service distribué, toutes tirant parti de ce bug. Plus ennuyeux encore, FireEye indique que le patch qui a été rendu public en même temps que la faille est inadéquat puisqu’il ne corrige pas en totalité la faille même s’il n’aggrave pas les choses, comme FireEye l’indique de manière assez ironique.

Des attaques concentrées sur les scripts CGI

L’origine du trafic suspect viendrait majoritairement de Russie et les attaquants ont déployé des scanners pour étudier quelles machines étaient vulnérables et ce depuis mercredi dernier et dans le monde entier. La société de sécurité indique que la majorité des attaques se concentre largement sur les scripts CGI, lesquels affectent les serveurs web. Ils indiquent comment l’attaque se déroule en précisant les paramètres qui sont concernés ou les commandes shell qui peuvent être écrites pour tirer parti de la faille. La liste est étonnamment fournie comme vous pourrez le découvrir. Outre FireEye, Kaspersky, Trend MicroHP , Symantec via une vidéo ont publié de très nombreuses informations relatives à cette faille et tout particulièrement le moyen de vérifier si les infrastructures réseaux sont susceptibles d’être attaquées via shellshock.

Finalement, le plus inquiétant est que ce bug existe depuis plus de 20 ans et que les réponses correctives ont loin d’avoir été à la hauteur.




Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143983
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI