Les attaques de l'insecte Shellshock sont tellement compliqués que même les meilleurs chercheurs de malwares trouvent qu'il est difficile de le comprendre. Les utilisateurs de PC se demandent comment la gravité de ces attaques sont et s'ils sont vulnérables. L'ingénieur de recherche en sécurité de FireEye Inc., Michael Lin, a résumé les informations connues sur le bug Shellshock et ce que l'utilisateur doit faire si elle est touchée. FireEye Inc., société fournit des produits de recherche et de sécurité, conçu pour protéger les réseaux du gouvernement et l'entreprise contre les menaces.
La nature de Shellshock
Shellshock est le surnom de la bogue de Bash, où Bash est déchiffré comme Bourne Again Shell. Le bug entre l'interpréteur de ligne de commande, aussi connu comme «l'enveloppe». Peut systèmes d'exploitation, parmi lesquels de nombreuses saveurs de Linux, UNIX, OSX d'Apple et BSD utiliser le shell Bash comme interprète de ligne de commande par défaut.
Les experts confirment que le shell Bash est disponible dans un autre système et y compris Windows et Android, mais il n'est pas installé sur ces systèmes et n'est pas utilisé par défaut, il.
Après le lancement de la première bug Shellshock, à savoir CVE-2014-6271, autres bugs Bash similaires ont été repérés par différents chercheurs. Par rapport à leur, CVE-2014-6271 reste le bug Shellshock plus importante et toutes les références ci-dessous se réfèrent à lui, sauf mentions contraires, dans le cas spécifique.
Qui peut être affecté par le bug Shellshock?
Les experts de logiciels malveillants disent que tous les utilisateurs Bash sont vulnérables au bogue Shellshock. Ils affirment en outre que seuls les utilisateurs Bash qui sont connectés à Internet sont ceux qui sont ouverts à l'exploitation à distance. En outre, logiciel spécifique est nécessaire afin de garantir l'accès à l'attaquant Bash.
Les plus vulnérables de tous et ceux qui sont censés être la cible la plupart sont le système qui exécute des serveurs Internet. De plus exposés à la bogue sont les utilisateurs de PC à domicile qui ont Bash, dans le cas où ils utilisent des réseaux qui ne sont pas dignes de confiance comme des taches publiques Internet sans fil, par exemple.
Les analystes disent que les logiciels malveillants moyenne des utilisateurs de l'Internet ne sont pas vulnérables, si vous utilisez Windows, Androïde, iOS ou Mac OS. Au cas où, cependant, il ya sur des serveurs Internet compromis, ces utilisateurs sont exposés à d'autres attaques.
Où est situé Shellshock bug?
Le bug Shellshock est positionné dans le code d'analyse de Bash. Les experts ont repéré une erreur dans la façon dont Bash analyse les variables à sa séquence d'initialisation. Ils affirment que tout ce qui peut manipuler les variables de l'environnement porte le potentiel d'être ce vecteur de vulnérabilité.
Comment ne Shellshock bug que les usagers vulnérables?
La nature malveillante du bug de Bash se cache dans le fait qu'il permet à l'individu mal intentionné de faire les mêmes commandes que l'utilisateur réel. En d'autres termes, le bug Bush permet à l'attaquant de faire sur l'ordinateur presque tout ce que l'utilisateur peut. Plus, l'attaquant qui dispose d'un accès à distance vecteur peut injecter le Bash commandes sur le système à distance et sans avoir besoin de l'authentification.
Au début, l'attaquant a un accès limité à exécuter le Bash, mais une fois dans le système, l'attaquant peut obtenir divers privilèges et dans l'accès gain de racine de fin.
Quels sont les objectifs du bug Shellshock?
Le bug Shellshock s'attaque aux serveurs HTTP, les clients DHCP, les systèmes SSC, les systèmes de Common UNIX Printing, et le navigateur plug-ins.
Serveurs HTTP
Le bug Shellshock est principalement attaque les serveurs Web HTTP. Ces serveurs qui s'exécutent sur FastCGI ou CGI sont capables d'exposer Bash pour le vecteur de demande de HTTP. Les requêtes HTTP malveillants permettent aux cybercriminels d'intégrer des commandes sur le serveur et le Bash peuvent les suivre.
Le Bash pourrait être alors immédiatement appelé par le script Bash ou par l'intermédiaire d'une commande de système. Dans le cas où le Bash est démarré dans cette demande de CGI de nature malveillante, alors le système devient vulnérable.
À la fois, Perl, PHP, et des scripts Python qui ne sont pas appelés par les systèmes de CGI mentionnés ci-dessus / FastCGI probablement ne seront pas affectés.
Les clients DHCP
Les clients Internet Systems Consortium DHCP sont également cibler des bug Shellshock. Ceci est valable pour le système UNIX et Linux, mais n'est pas affecter le système OSX.
Le vecteur est activé lorsque l'utilisateur se connecte à attaquer un serveur DHCP qui a la nature malveillante. Le client DHCP affectées utilisera les variables du serveur DHCP et les enregistrer en tant que variables de l'environnement. De cette façon, le serveur DHCP va configurer les interfaces réseau par le biais de Bash. C'est possible de se produire lorsque l'utilisateur établit une connexion à un serveur DHCP malveillant ou un point Wi-Fi qui est publique.
Au cours de l'attaque, le cybercriminel peut aussi utiliser le vecteur de CGI afin de compromettre le service DHCP sur un serveur qui est légitime.
SSH
La plupart des systèmes de SSH sont configurés de telle manière à limiter les commandes que l'utilisateur peut appliquer. Les pirates utilisent le bug de Bash ici pour aller au-delà des restrictions appliquées. Cela nécessite toutefois l'authentification et c'est pourquoi ce vecteur propose une escalade de privilège.
Les systèmes qui utilisent SSH, y compris rsync, vous allez, rlogin, subversion, et d'autres peuvent également être affectées.
Système Unix Printing commune (CUPS)
Un serveur d'impression, la Common UNIX Printing System est disponible dans de nombreux UNIX, Systèmes BSD et Linux. Il fonctionne avec des variables qui sont contrôlées par l'utilisateur et fondées sur les sont de définir les variables d'environnement lors du traitement des filtres. Elle peut agir comme un vecteur pour la vulnérabilité, dans le cas si Bash est initialisé par le Common UNIX Printing System au cours de ce processus.
Actuellement, ce vecteur est théorique.
Navigateur Plug-ins
Plug-ins de tiers peuvent également exister, qui fixera les variables d'environnement à travers des valeurs contrôlées par les utilisateurs. Il peut en résulter un vecteur trop, mais cela est encore sur la théorie que.
