#ShellShock, un séisme d’une amplitude inégalée


Qu’est-ce que bash ?

Bash est à la fois un langage de programmation et ce qu’on appelle un shell. Un shell est une interface qui permet à un humain de dialoguer avec un ordinateur. (au lieu de cliquer sur des icônes et dans des fenêtres, on envoie des commandes à cette interface). Bash est très utilisé sur les serveurs Linux mais on le retrouve aussi sur les serveurs Unix et BSD.

Quel est le principe de la vulnérabilité ?

Lors de l’exécution d’un programme bash, ce dernier charge des variables d’environnement. La valeur de cette variable peut être statique, mais bash autorise aussi à charger des fonctions. C’est dans le parsing de cette fonction que réside le problème. En effet un attaquant peut injecter des commandes à la fin de la fonction :

Env_Variable=’() { <your function> }; <attacker code here>’

Que faut-il pour la vulnérabilité puisse être exploitée ?

Il faut que bash récupère une variable qui est définie par l’utilisateur. Cette variable peut être récupérée par exemple dans une session SSH, via un client SNMP mais il est probable que le principal vecteur d’exploitation soit le WEB.

Quel est l’impact de cette vulnérabilité ?

L’impact est extrêmement fort, car l’attaque est réalisable via le réseau et elle permet d’exécuter du code à distance. Ce qui permet à un attaquant d’impacter l’accessibilité, l’intégrité et la confidentialité des données. A titre de comparaison, la fameuse vulnérabilité HeartBleed n’impactait que la confidentialité. Et bash est très répandu…

Comment limiter les risques ?

Il convient de patcher en urgence. Mais dans un grand nombre de cas au mieux, Il faudra procéder à  des tests de non-régression qui prendront du temps à réaliser (ce qui augmentera la durée d’exposition au risque) et au pire, le système ne sera pas patchable….  Que faire donc me direz-vous ? Une fois de plus, le virtual patching va permettre de limiter les risques d’exploitation de cette vulnérabilité. Le principe du virtual patching consiste à observer ce qui se passe sur le réseau afin de repérer ce qui caractérise l’exploitation de la vulnérabilité. On peut alors bloquer la trame réseau avant que celle-ci n’atteigne la machine ciblée. Si vous ne connaissiez pas les vertus du virtual patching avec Deep Security, c’est le moment de vous y  intéresser ! :-)

Haro sur les menaces Web, le piratage de données et les vulnérabilités à haut risque

turning the tableSécurisez vos données : c’est ce que soulignent les conclusions de notre dernier rapport trimestriel de sécurité « 2Q 2014 Security Roundup Report: Turning the Tables on Cyber Attacks«  !

La première partie de l’année 2014 a encore été le théâtre d’exactions aggravées à l’encontre des institutions financières et bancaires ainsi que des acteurs de la grande distribution, des exactions qui ont conduit à la divulgation de plus de 10 millions de données personnelles !!!! Ces chiffres qui donnent le tournis nous poussent surtout à nous interroger : pourquoi ces entreprises en apparence solides et de grande envergure sont-elles si vulnérables ? La recrudescence des piratages de données sont la preuve matérielle évidente qu’aucune société stockant, possédant et traitant des données n’est aujourd’hui en sécurité.

Lire la suite

Opération Emmental : une histoire de … trous

Les chercheurs de nemmentalotre équipe Forward-Looking Threat Research (FTR) ont publié un nouveau rapport de recherche sur une attaque identifiée récemment, surnommée « Attaque Emmental » ciblant les services bancaires. Quel rapport entre le célèbre fromage suisse et les services bancaires me direz-vous ? Peut-être les trous justement… Ou plutôt les failles. Mais aussi que la Suisse fait parti des pays ciblés par cette attaque, au même titre que l’Autriche, la Suède et le Japon. Lire la suite