Sécurité: la mégafaille «Shellshock» secoue le monde Linux et Mac OS

Des chercheurs ont trouvé une vulnérabilité facile à exploiter et très répandue, permettant de prendre un contrôle total des systèmes. Le problème : il sera très difficile de la corriger.

Vous avez aimé « Heartbleed » ? Vous allez encore plus adorer « Shellshock », la nouvelle mégafaille qui secoue l’univers informatique et qui, selon certains experts en sécurité, est encore plus grave que le bogue dans Open SSL. Découverte hier par une équipe de Red Hat, cette faille est liée au « Bash Shell », une couche logicielle bien connue des informaticiens qui donne accès au système d’exploitation Linux et Mac OS par une interface en ligne de commande. Pour y accéder, il suffit par exemple d’ouvrir une fenêtre Terminal sur un Linux ou un Mac.
Le Bash est très ancien et très utilisé dans un nombre incalculable de logiciels, car c’est très pratique. En particulier, il est utilisé au niveau des serveurs web. Or, la faille mise en lumière par les ingénieurs de Red Hat permet d’exécuter n’importe quel code au travers de cette couche logicielle. Un hacker qui arrive à l’exploiter sur un système pourra donc en prendre totalement possession.
macbook 407127_640
Comme est-ce possible ? Le problème réside au niveau du langage même utilisé pour exécuter les commandes Bash. Comme dans un véritable langage de programmation, Bash permet de définir des variables. Le problème, c’est qu’il est possible d’insérer aussi des commandes. Voici un exemple simple qui permet d’ailleurs de tester la vulnérabilité de votre système :
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Cette petite ligne de commande introduit une variable x, 
dont la définition est écrite entre deux apostrophes.
Juste avant la fin, on insère la commande « echo vulnerable ».  
Executez cette commande. Si votre système est vulnérable, vous verrez afficher les lignes suivantes :

vulnerable
this is a test
Une manière simple d’exploiter cette faille est, par exemple, d’insérer du code dans les en-têtes « user agent » d’un navigateur. Ces en-têtes sont envoyées au serveur Web pour indiquer le nom de l’application (Firefox par exemple), la version, le système d’exploitation, etc. Le chercheur en sécurité Robert Graham utilise cette technique pour scanner le Web à la recherche des serveurs vulnérables. En peu de temps, il en a trouvé des dizaines de milliers. Un ou plusieurs pirates auraient également appliqué la même méthode, mais pour déployer un malware. L’urgence est donc de mise, et cela d’autant plus que, selon M. Graham, cette faille permettrait de créer des vers, c’est-à-dire des logiciels malveillants capables de se déployer automatiquement de système en système.
Des patchs ont d’ores et déjà été publiés pour un certain nombre de systèmes Linux, à savoir Red Hat, Debian et CentOS. Ces correctifs ont pour effet de bloquer l’exécution de commandes intégrées dans des variables. Mais ceci n’est que la partie émergée de l’iceberg. De nombreuses variantes de Linux sont déployées dans un grand nombre de systèmes, notamment embarqués. Or, ces derniers sont difficiles à mettre à jour. Il est donc quasiment impossible de patcher l’ensemble des systèmes affectés. « Le nombre de systèmes qui ont besoin d’être patchés mais qui ne pourront pas l’être est beaucoup plus important que pour Heartbleed », souligne ainsi Robert Graham. En d’autres termes, cette faille est là pour durer et nous en entendrons parler encore pendant des années…

Source: 01.net