CERT-XMCO : une faille critique affecte l’interpréteur Bash sur les systèmes Linux et Mac OS X
septembre 2014 par CERT-XMCO
– Date : 25 Septembre 2014
– Criticité : Urgente
– Plateformes :
* Mac OS X
* Linux
* Unix
– Programme : Bash
– Exploitation : Distante
– Dommage : Accès au système
– Description :
Une vulnérabilité critique, baptisée Shellshock et référencée CVE-2014-6271, a été publiée hier soir.
Cette dernière semble affecter tous les programmes reposants sur l’interpréteur de commande Bash, manipulant des variables d’environnement.
Les services les plus exposés à cette faille sont a priori les configurations d’Apache implémentant le module "mod_cgi", ou encore des programmes exécutés localement tel que VMWare.
En définissant des variables spécialement conçues, un attaquant pourrait donc exécuter des commandes sur le système ciblé.
Actuellement, deux programmes exploitant cette vulnérabilité ont été publiés au sein du Framework d’exploitation Metasploit (un pour Apache et l’autre pour VMware sur Mac OS X). Par ailleurs, des internautes sont en train de scanner Internet afin d’identifier les systèmes vulnérables (voir http://blog.erratasec.com/).
Les principales distributions Linux ont cependant publié des mises à jour.
– Exploit :
Un code d’exploitation est disponible sur notre extranet
– Vulnérable :
* Linux
* Unix
– Référence :
http://www.volexity.com/blog/?p=19
http://www.reddit.com/r/netsec/comments/2hbxtc/cve20146271_remote_code_execution_through_bash/
http://www.wired.com/2014/09/internet-braces-crazy-shellshock-worm/
http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html
http://pastebin.com/raw.php?i=166f8Rjx
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
– Correction :
Certains éditeurs de distributions Linux ont publié des correctifs de sécurité. Cependant, il semblerait que dans la précipitation, certains correctifs publiés ne s’avéreraient mal conçus, ce qui permettrait toujours d’exploiter cette faille.
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2014-3117