Rendue publique le 24 septembre dernier après sa découverte par l’informaticien français Stéphane Chazelas, la faille Shellshock est encore activement exploitée, selon une alerte émise par Binary Defense Systems.
Dans le cadre de son programme de surveillance de l’activité malicieuse sur le Net, l’entreprise américaine spécialisée dans la sécurité managée, l’analyse de menaces et la réponse aux incidents a découvert une attaque visant à faire exécuter des scripts Perl sur des machines compromises.
Principale cible : les passerelles SMTP, qui gèrent le transfert des courriels vers les serveurs de messagerie. Objectif : faire grossir un réseau d’ordinateurs zombies (botnet) commandé par IRC. La faille Shellshock (qui réside dans Bash, l’interpréteur en ligne de commande utilisé par défaut sur de nombreux systèmes Unix et Linux) est exploitée comme principal vecteur d’attaque via les champs « objet », « expéditeur » et « destinataire(s) ».
Dans une contribution blog, Binary Defense Systems recommande à toutes les organisations de vérifier que tous leurs systèmes utilisant Bash aient bien été patchés. Pour le moment, seuls des hébergeurs Web ont fait état d’une attaque de ce type.
Comme le note Silicon.fr, des exploits Shellshock ont été utilisés dès les premières heures suivant la découverte de la faille. Très souvent pour rechercher des systèmes vulnérables et les faire éventuellement entrer dans un botnet exploité dans le cadre d’attaques par déni de service (DDoS).
Il faut dire que la brèche est grand ouverte : elle concerne potentiellement toute application interagissant avec Bash (« Bourne-again shell »), ce dans de nombreuses configurations. Les pirates n’ont pas nécessairement besoin de disposer d’un accès au point vulnérable : il leur suffit de passer par l’un des nombreux services autorisant des tiers non identifiés à fournir, à distance, des variables d’environnement. Celles-ci sont mal traitées par Bash, qui en interprète d’abord le nom et la valeur avant d’analyser la fonction éventuellement liée… et d’exécuter tout le code suivant le point virgule qui doit normalement marquer la fin de la définition de la fonction.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les formations aux métiers high-tech ?
Crédit illustration : Chaban Oleksandr – Shutterstock.com
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
