Vidéo: Comment changer de Shell sous Linux et macOS ? (Novembre 2024)
Un bogue découvert dans Bash, un interpréteur de commandes largement utilisé, pose un risque de sécurité critique pour les systèmes Unix et Linux, ont déclaré des experts en sécurité. Et de peur que le problème ne soit considéré comme un problème de serveur, rappelez-vous que Mac OS X utilise Bash. De nombreux experts préviennent que cela pourrait être pire que Heartbleed.
La vulnérabilité est présente dans la plupart des versions de Bash, de la version 1.13 à la version 4.3, selon Stephane Chazelas, administrateur réseau et télécom Unix et Linux chez Akamai, qui a révélé le bogue pour la première fois. L'équipe d'intervention en cas d'urgence informatique (CERT) du Department of Homeland Security a averti dans une alerte que, si elle était exploitée, cette vulnérabilité pourrait permettre à un pirate informatique distant d'exécuter du code malveillant sur un système affecté. La base de données de vulnérabilité du NIST a évalué le bogue 10 sur 10 en termes de gravité.
"Cette vulnérabilité est potentiellement une très grosse affaire", a déclaré Tod Beardsley, responsable technique chez Rapid7.
La vulnérabilité est liée à la façon dont Bash gère les variables d’environnement. Lors de l'affectation d'une fonction à une variable, tout code supplémentaire dans la définition sera également exécuté. Donc, tout ce qu'un attaquant doit faire, c'est en quelque sorte ajouter un ensemble de commandes dans cette définition - une attaque classique par injection de code - et il sera capable de détourner à distance la machine affectée. Chazelas et d'autres chercheurs qui ont examiné la faille ont confirmé qu'elle était facilement exploitable si le code était injecté dans des variables d'environnement, telles que la fonction ForceCommand dans OpenSSH sshd, les modules mod_cgi et mod_cgid dans Apache HTTP Server, ou des scripts environnement pour les clients DHCP.
"Un grand nombre de programmes sur Linux et d'autres systèmes UNIX utilisent Bash pour configurer des variables d'environnement qui sont ensuite utilisées lors de l'exécution d'autres programmes", a écrit Jim Reavis, directeur général de la Cloud Security Alliance.
Comparaison inévitable de Heartbleed
Pensez à deux choses à propos de cette vulnérabilité: les serveurs Linux / Unix sont largement utilisés dans les centres de données du monde entier ainsi que sur de nombreux périphériques intégrés; la vulnérabilité est présente depuis des années. Comme Bash est si répandu que la comparaison avec Heartbleed, la vulnérabilité découverte par OpenSSH en avril est inévitable. Robert Graham de Errata Security a déjà surnommé la faille ShellShock.
Mais est-ce Heartbleed 2? C'est un peu difficile à dire. Il s’agit là d’un problème sérieux, car il donne aux attaquants l’accès au shell de commande, qui leur permet de faire ce qu’ils veulent sur leur ordinateur.
Pensons en termes de taille. Les serveurs Web Apache alimentent la très grande majorité des sites Web du monde. Comme nous l'avons appris lors de Heartbleed, de nombreuses machines non Linux / Unix utilisent OpenSSH et Telnet. Et DHCP contribue grandement à faciliter l’accès et la désactivation des réseaux. Cela signifie qu'en plus des ordinateurs et des serveurs, il est possible que d'autres systèmes intégrés, tels que les routeurs, soient également vulnérables au détournement. Graham de Errata Security - qui a effectué l’une des analyses les plus complètes du bogue jusqu’à présent - a effectué quelques analyses et a facilement trouvé quelques milliers de serveurs vulnérables, mais il est un peu difficile à l’heure actuelle d’estimer l’ampleur du problème.
Cependant, la faille Heartbleed était présente simplement en ayant une version vulnérable d'OpenSSL installée. Ce bug n'est pas aussi simple.
"Ce n'est pas aussi simple que de" faire tourner Bash ", a déclaré Beardsley. Pour que la machine soit vulnérable aux attaques, il doit exister une application (telle qu'Apache) prenant en compte les entrées de l'utilisateur (comme un en-tête User-Agent) et les mettant dans une variable d'environnement (comme le font les scripts CGI), a-t-il déclaré. Les infrastructures Web modernes ne seront généralement pas affectées, a-t-il déclaré.
C’est peut-être pour cela que Graham a déclaré que bien que ShellShock soit aussi sévère que Heartbleed, «il n’est guère nécessaire de se précipiter pour corriger ce bogue. Vos serveurs principaux ne sont probablement pas vulnérables à ce bogue».
Mais avant de nous inquiéter pour les routeurs et les périphériques intégrés (et l'Internet des objets), gardez à l'esprit que tous les systèmes n'utilisent pas Bash. Ubuntu et d’autres systèmes dérivés de Debian peuvent utiliser un interpréteur de commandes différent appelé Dash. Roel Schouwenberg, chercheur principal chez Kaspersky Lab, a déclaré sur Twitter que les appareils embarqués utilisent fréquemment un bus appelé BusyBox, qui n'est pas vulnérable.
Vulnérable ou Non?
Vous pouvez vérifier si vous êtes vulnérable en exécutant les commandes suivantes (code fourni par l'ASC). Ouvrez une fenêtre de terminal et entrez la commande suivante à l’invite $:
env x = '() {:;}; echo vulnérable 'bash -c "echo c'est un test"
Si vous êtes vulnérable, ça va imprimer:
vulnérable
c'est un test
Si vous avez mis à jour Bash, vous ne verrez que:
c'est un test
Normalement, je dirais que vous devez procéder immédiatement à la correction, mais il s'avère que les correctifs disponibles ne sont pas complets. Red Hat a déclaré ce matin qu'il existe toujours des moyens d'injecter des commandes via des variables d'environnement même après avoir corrigé Bash, Si vous ne disposez que de quelques machines, il peut être intéressant d’appliquer les correctifs disponibles, mais si vous avez des milliers de machines à corriger, attendez-vous encore quelques heures. Toutes les distributions Linux en amont (et, espérons-le, Apple!) Travaillent actuellement sur un correctif.
"N'oubliez pas que même si vous n'avez jamais entendu parler de Bash, ou si vous ne l'exécutez pas, il est fort possible qu'un logiciel fonctionnant sur votre ordinateur génère des processus Bash", a déclaré Graham Cluley, consultant en sécurité indépendant.
