Shellshock : premiers correctifs et premières exploitations
La vulnérabilité Shellshock affectant l’interpréteur de ligne de commande Bash fait désormais l’objet de correctifs. Mais des cybercriminels commencent également à l’exploiter.
Dévoilée la semaine passée, la vulnérabilité de l’interpréteur de lignes de commandes Bash, dite Shellshock, fait l’objet de premiers correctifs et autres recommandations de prévention. Ainsi, pour Apple, même si OS X est vulnérable, la plupart de ses utilisateurs ne sont pas directement concernés : seuls le sont ceux qui ont « configuré des services Unix avancés ». Si Apple ne précise pas ce qu’il faut entendre par « services Unix avancés », d’autres s’en chargent. Intego explique ainsi que le service d’administration à distance d’OS X est susceptible de rendre un Mac vulnérable, à condition d’autoriser l’accès invité, de même que l’installation d’Apache et de PHP sur une version d’OS X antérieure à Mountain Lion. Effectivement, le risque apparaît limité. Toutefois, le nombre de Mac présents sur certaines conférences, y compris de sécurité, avec un disque dur ouvert à tous les vents, laisse suffisamment rêveur pour imaginer sans trop de peine que certaines machines soient configurées comme le décrit Intego. Pour autant, il est déjà possible d’appliquer des correctifs, en attendant qu’Apple ne se décide à en proposer un.
Des nombreux produits d’entreprise affectés
Mais comme attendu, de nombreux produits sont affectés, dont certains utilisés pour les infrastructures IT des entreprises. Dans une note d’information, VMware explique ainsi qu’ESX 4.0 et 4.1 sont affectés, de même que les appliances virtuelles vCenter Operations Manager 5.x, Orchestrator Appliance 4.x et 5.x, ou encore vCloud Automation Center 6.x. Mais là encore se pose la question de l’exploitation de la vulnérabilité. Et VMware d’assurer ne pas avoir « démontré que la vulnérabilité Bash peut être mise à profit sur ces appliances ». Afin de réduire le risque, l’éditeur recommande en outre de « restreintre l’accès à ces appliances via des règles de pare-feu et autres contrôles appliqués aux couches réseau à uniquement des adresses IP de confiance ».
Dans une note technique, Citrix détaille quant à lui les composants de ses solutions qui sont susceptibles d’être concernés. XenServer pourrait être en première ligne : « nos premiers résultats montrent qu’un certain risque pourrait exister pour les interfaces d’administration. Ainsi, en ligne avec les pratiques de référence actuelles, nous recommandons que l’accès à toute interface d’administration XenServer soit limité à des réseaux et utilisateurs de confiance. »
De son côté, Red Hat a rapidement proposé un premier lot de correctifs. Mais ceux-ci s’avéraient incomplets et des packages actualisés sont désormais disponibles pour RHEL 5,6 et 7.
De manière générale, certains serveurs Web Apache, clients DHCP, serveurs OpenSSH, et autres services réseau utilisant Bash, sont susceptibles d’être affectés. Mais la véritable question est celle de l’exploitabilité de la vulnérabilité. Ainsi, Sophos assure qu’aucun de ses produits Linux ou Unix « n’utilise Bash d’une manière qui permettrait l’exploitation de cette vulnérabilité avec des données transmises depuis l’extérieur [du réseau] par un attaquant ». Et d’expliquer que « les attaquants devraient avoir besoin d’accès à Bash avant de pouvoir en utiliser la vulnérabilité ».
Des tentatives d’exploitation
Il n’en reste pas moins des cybercriminels hautement désireux de tirer profit de la vulnérabilité. Dans un entretien avec la BBC, Jamie Blasco, directeur des laboratoires d’AlenVault, indique ainsi avoir mis en place un pot de miel la semaine passé, et observer du trafic malicieux pour chercher à savoir si le système concerné est vulnérable. Deux attaques « exploitant activement la vulnérabilité et installant un logiciel malveillant sur le système » ont également été constatées.
Une demi-surprise alors que Rapid7 a récemment indiqué avoir mis à jour son kit Metasploit « pour assister à la détection et la vérification de ces problèmes. Des modules pour tester divers chemins d’exploitation sont disponibles tant pour Metasploit Community que pour Pro ». Et FireEye de souligner que des scripts d’exploitation de type proof-of-concept sont également disponibles, tout en détaillant plusieurs scénarios d’exploitation. Un script écrit en Python est par exemple proposé sur Github.
L’institut SANS indique quant à lui constater des efforts « agressifs » d’exploitation de la vulnérabilité, évoquant notamment l’outil d’administration cPanel. Et l’organisme n’est pas seul dans ce cas, certains relevant que des « milliers » de sites administrés avec cet outil sont potentiellement concernés.
Selon Robert Graham d’Errata Security, Masscan serait utilisé pour compromettre des systèmes vulnérables. Mais, surtout, Shellshock pourrait être utilisé pour constituer des vers se propageant d’eux-mêmes, rapidement. Et le SANS d’expliquer « observer des rapports de vers exploitant telnet sur les réseaux du ministère de la Défense aux Etats-Unis ». Le botnet Wopbot serait là à l’œuvre.
Se protéger
Mais comme d’autres, Kaspersky souligne que les systèmes affectés ne sont pas forcément vulnérables. Et PwC de formuler quelques conseils pour protéger les systèmes concernés, a court comme à moyen/long terme. Dans un billet de blog, le cabinet recommande ainsi de tester ses systèmes à la recherche de la vulnérabilité – « serveurs, systèmes réseau, mais aussi de surveillance et de sécurité. Examinez aussi les systèmes de contrôle de ventilation, de contrôle industriel, et de téléphonie pour vous assurer qu’ils ne sont pas vulnérables..» Et de rejoindre en là Kaspersky qui, dans un billet de blog, attire notamment l’attention sur les systèmes de contrôle industriel (ICS) et les Scada.
Pour PwC, il convient de s’attacher tout particulièrement aux systèmes accessibles depuis Internet, mais aussi de « superviser les logs réseau et applicatifs pour chercher des activités anormales », et de s’assurer que « les systèmes ne communiquent qu’avec des sources de confiance » et qu’aucun compte utilisateur suspect n’est créé sans suivre les processus internes applicables.