Qu’est-ce que le bogue Shellshock et est-ce toujours un risque?
Comme la plupart des bogues de sécurité, Shellshock a pris d'assaut Internet en 2014 et a compromis des millions de comptes. Ce bogue mortel provient de Bash (Bourne Again Shell) qui est l'interface de ligne de commande par défaut sur tous les systèmes d'exploitation Linux, Unix et Mac.
La vulnérabilité Shellshock a été détectée pour la première fois il y a environ 30 ans, mais n'a été classée comme menace officielle et publique qu'en septembre 2014. Même avec le passage du temps et de nombreux correctifs, ce bogue reste une menace pour la sécurité de l'entreprise.
Alors, qu'est-ce que Shellshock? Êtes-vous en danger? Et comment savoir si vous avez déjà été touché?
Qu'est-ce que le bogue Shellshock?
La fonction du Bash est de traduire vos commandes dans un langage que le système d'exploitation peut déchiffrer. Ce bogue se trouve dans le code d'analyse de Bash lors de la séquence d'initialisation et permet au Bash d'exécuter des commandes au nom de l'utilisateur sans le vouloir, permettant à un pirate de tout contrôler à distance.
Une fois que les pirates ont accès à un vecteur distant, ils commencent à injecter des commandes Bash dans le système. Essentiellement, les attaquants exécutent du code à distance et exécutent des scripts malveillants qui ressemblent à des commandes légitimes.
Qui est concerné par le bogue Shellshock?
Bash n'est pas un service Internet, mais la réalité est que de nombreux services Internet tels que les serveurs Web utilisent des variables d'environnement pour communiquer avec le système d'exploitation des serveurs.
Il affecte principalement les systèmes Linux, BSD et Mac OS, mais comme Linux alimente une grande majorité de serveurs Internet et d'appareils IoT (Internet of Things), il faut présumer que tout internaute peut être la proie du bogue Shellshock.
Shellshock est-il toujours un risque?
La bonne nouvelle est que le Shellshock n'est pas aussi précaire lors de sa première apparition car une myriade de correctifs ont été développés pour le réduire. Cependant, la pandémie COVID-19 a laissé la plupart des organisations se démener pour assurer la sécurité de leurs lieux de travail distants en constante expansion.
Les cybermenaces se profilent depuis l'avènement d'Internet, mais plus que jamais, les employés ont besoin de mesures de sécurité supplémentaires. Non seulement une culture de travail à distance crée des opportunités dangereuses pour les pirates et les hameçonneurs, mais chaque appareil domestique et chaque connexion peuvent être un point d'entrée potentiel pour les acteurs malveillants.
Comme Shellshock est considéré comme une attaque très peu coûteuse, il offre aux attaquants des opportunités potentielles d'exploiter facilement leur cible. Même avec les correctifs en place, toute organisation avec des mesures de sécurité obsolètes peut toujours être menacée.
Existe-t-il un risque pour les utilisateurs Windows de Shellshock?
Les principales cibles du bogue Shellshock sont les machines Linux et Unix. Les utilisateurs Windows ne sont pas directement concernés.
Cependant, les cybercriminels trouvent toujours des moyens innovants d'exploiter également les faiblesses des utilisateurs de Windows. Par conséquent, il est impératif que les utilisateurs de Windows maintiennent leurs systèmes d'exploitation à jour et mis à jour à tout moment.
Comment savoir si vous êtes affecté par Shellshock
Une partie de l'atténuation des risques consiste à suivre les vulnérabilités potentielles. Heureusement, il est assez facile de voir si vous êtes affecté par Shellshock.
Comme ce bogue est relativement ancien, il existe une variété de scanners de vulnérabilités disponibles et certains d'entre eux sont même gratuits, comme le bashcheck qui peut être téléchargé à l'aide de Github .
Pour tous les geeks férus de technologie, il suffit de saisir la commande suivante dans votre invite Bash pour révéler la vérité:
env X = ”() {:;}; echo Bash est infecté »/ bin / sh -c« écho terminé »
env X = ”() {:;}; echo Bash est infecté »« qui bash »-c« écho terminé »
env VAR = '() {:;}; echo Bash est infecté 'bash -c "echo terminé"
Si votre invite renvoie un message «Bash est infecté», il est temps de mettre à jour votre Bash.
Au lieu de "Bash is Infected", votre invite peut même afficher quelque chose comme:
bash: avertissement: VAR: tentative de définition de fonction ignorée
bash: erreur lors de l'importation de la définition de la fonction pour `VAR '
Test de choc
Si vous souhaitez tester la vulnérabilité de certains sites Web ou scripts CGI, un outil appelé ShellShock 'Bash Vulnerability CVE-2014-6271 Test Tool peut vous aider. Entrez simplement l'URL ou le script CGI dans les champs de saisie et cliquez sur les boutons bleus.
Comment atténuer Shellshock et autres cyberattaques
Corriger vos applications est la clé pour protéger vos systèmes contre les accès non autorisés et les attaques de sécurité comme Shellshock. En un mot, la meilleure façon de se protéger contre cette vulnérabilité est de maintenir votre système à jour en appliquant tous les correctifs publiés pour cet exploit depuis sa découverte.
Pour réussir à atténuer les attaques de sécurité et à gérer les vulnérabilités, les entreprises et les particuliers doivent se concentrer sur trois domaines clés:
Détection instantanée des vulnérabilités potentielles: la détection et la correction instantanées des vulnérabilités peuvent réduire au maximum les temps d'arrêt face à une attaque. Un plan d'action solide, un suivi continu des actifs et la participation de tout le monde se traduiront tous par des taux de détection plus rapides.
En outre, investir dans des outils d' analyse de composition logicielle (ou SCA) peut vraiment aider à trouver des vulnérabilités dans les codes open source qui sont partout.
Connaissez votre niveau de vulnérabilité: chaque vulnérabilité de sécurité est associée à un niveau de gravité et, selon la configuration de votre réseau, certaines vulnérabilités peuvent être plus critiques que d'autres. Savoir où vous ou votre entreprise vous situez en termes de tolérance au risque est crucial pour atténuer les attaques comme Shellshock.
Investir dans un scanner de vulnérabilité comme Netsparker est une bonne idée pour lutter contre ces attaques et les hiérarchiser. Ce scanner fournit également les niveaux de gravité de toutes vos vulnérabilités détectées.
Équilibrer les opérations de sécurité avec la production: Maintenir un niveau de sécurité élevé tout en maintenant la productivité des employés est un exercice d'équilibre pour toute organisation. Les entreprises qui réussissent maintiennent un équilibre sain entre les deux en élaborant des plans bien définis qui répondent au besoin de sécurité tout en garantissant que tout le monde reste productif.
Ne soyez pas choqué par Shellshock
Shellshock est une attaque largement obsolète, mais il y a toujours une chance qu'elle puisse reprendre et s'injecter dans des endroits où une bonne hygiène de sécurité n'est pas pratiquée.
Pour éviter de vous enliser dans Shellshock ou toute cyberattaque, assurez-vous que votre Bash, vos ordinateurs et vos appareils mobiles sont toujours mis à jour et que des correctifs de sécurité appropriés et des mises à jour spécifiques au fournisseur sont en place.