Shellshock : une faille encore activement exploitée

Cloud
shellshock-smtp

Binary Defense Systems a repéré une attaque basée sur la faille Shellshock et ciblant les serveurs mail pour alimenter un réseau d’ordinateurs zombies.

Rendue publique le 24 septembre dernier après sa découverte par l’informaticien français Stéphane Chazelas, la faille Shellshock est encore activement exploitée, selon une alerte émise par Binary Defense Systems.

Dans le cadre de son programme de surveillance de l’activité malicieuse sur le Net, l’entreprise américaine spécialisée dans la sécurité managée, l’analyse de menaces et la réponse aux incidents a découvert une attaque visant à faire exécuter des scripts Perl sur des machines compromises.

Principale cible : les passerelles SMTP, qui gèrent le transfert des courriels vers les serveurs de messagerie. Objectif : faire grossir un réseau d’ordinateurs zombies (botnet) commandé par IRC. La faille Shellshock (qui réside dans Bash, l’interpréteur en ligne de commande utilisé par défaut sur de nombreux systèmes Unix et Linux) est exploitée comme principal vecteur d’attaque via les champs « objet », « expéditeur » et « destinataire(s) ».

Dans une contribution blog, Binary Defense Systems recommande à toutes les organisations de vérifier que tous leurs systèmes utilisant Bash aient bien été patchés. Pour le moment, seuls des hébergeurs Web ont fait état d’une attaque de ce type.

Comme le note Silicon.fr, des exploits Shellshock ont été utilisés dès les premières heures suivant la découverte de la faille. Très souvent pour rechercher des systèmes vulnérables et les faire éventuellement entrer dans un botnet exploité dans le cadre d’attaques par déni de service (DDoS).

Il faut dire que la brèche est grand ouverte : elle concerne potentiellement toute application interagissant avec Bash (« Bourne-again shell »), ce dans de nombreuses configurations. Les pirates n’ont pas nécessairement besoin de disposer d’un accès au point vulnérable : il leur suffit de passer par l’un des nombreux services autorisant des tiers non identifiés à fournir, à distance, des variables d’environnement. Celles-ci sont mal traitées par Bash, qui en interprète d’abord le nom et la valeur avant d’analyser la fonction éventuellement liée… et d’exécuter tout le code suivant le point virgule qui doit normalement marquer la fin de la définition de la fonction.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les formations aux métiers high-tech ?

Crédit illustration : Chaban Oleksandr – Shutterstock.com