Rendue publique le 24 septembre dernier après sa découverte par l’informaticien français Stéphane Chazelas, la faille Shellshock est encore activement exploitée, selon une alerte émise par Binary Defense Systems.
Dans le cadre de son programme de surveillance de l’activité malicieuse sur le Net, l’entreprise américaine spécialisée dans la sécurité managée, l’analyse de menaces et la réponse aux incidents a découvert une attaque visant à faire exécuter des scripts Perl sur des machines compromises.
Principale cible : les passerelles SMTP, qui gèrent le transfert des courriels vers les serveurs de messagerie. Objectif : faire grossir un réseau d’ordinateurs zombies (botnet) commandé par IRC. La faille Shellshock (qui réside dans Bash, l’interpréteur en ligne de commande utilisé par défaut sur de nombreux systèmes Unix et Linux) est exploitée comme principal vecteur d’attaque via les champs « objet », « expéditeur » et « destinataire(s) ».
Dans une contribution blog, Binary Defense Systems recommande à toutes les organisations de vérifier que tous leurs systèmes utilisant Bash aient bien été patchés. Pour le moment, seuls des hébergeurs Web ont fait état d’une attaque de ce type.
Comme le note Silicon.fr, des exploits Shellshock ont été utilisés dès les premières heures suivant la découverte de la faille. Très souvent pour rechercher des systèmes vulnérables et les faire éventuellement entrer dans un botnet exploité dans le cadre d’attaques par déni de service (DDoS).
Il faut dire que la brèche est grand ouverte : elle concerne potentiellement toute application interagissant avec Bash (« Bourne-again shell »), ce dans de nombreuses configurations. Les pirates n’ont pas nécessairement besoin de disposer d’un accès au point vulnérable : il leur suffit de passer par l’un des nombreux services autorisant des tiers non identifiés à fournir, à distance, des variables d’environnement. Celles-ci sont mal traitées par Bash, qui en interprète d’abord le nom et la valeur avant d’analyser la fonction éventuellement liée… et d’exécuter tout le code suivant le point virgule qui doit normalement marquer la fin de la définition de la fonction.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les formations aux métiers high-tech ?
Crédit illustration : Chaban Oleksandr – Shutterstock.com
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…
Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…