Shellshock : premiers correctifs et premières exploitations

Des nombreux produits d’entreprise affectés

Mais comme attendu, de nombreux produits sont affectés, dont certains utilisés pour les infrastructures IT des entreprises. Dans une note d’information, VMware explique ainsi qu’ESX 4.0 et 4.1 sont affectés, de même que les appliances virtuelles vCenter Operations Manager 5.x, Orchestrator Appliance 4.x et 5.x, ou encore vCloud Automation Center 6.x. Mais là encore se pose la question de l’exploitation de la vulnérabilité. Et VMware d’assurer ne pas avoir « démontré que la vulnérabilité Bash peut être mise à profit sur ces appliances ». Afin de réduire le risque, l’éditeur recommande en outre de « restreintre l’accès à ces appliances via des règles de pare-feu et autres contrôles appliqués aux couches réseau à uniquement des adresses IP de confiance ».

Dans une note technique, Citrix détaille quant à lui les composants de ses solutions qui sont susceptibles d’être concernés. XenServer pourrait être en première ligne : « nos premiers résultats montrent qu’un certain risque pourrait exister pour les interfaces d’administration. Ainsi, en ligne avec les pratiques de référence actuelles, nous recommandons que l’accès à toute interface d’administration XenServer soit limité à des réseaux et utilisateurs de confiance. »

De son côté, Red Hat a rapidement proposé un premier lot de correctifs. Mais ceux-ci s’avéraient incomplets et des packages actualisés sont désormais disponibles pour RHEL 5,6 et 7.

De manière générale, certains serveurs Web Apache, clients DHCP, serveurs OpenSSH, et autres services réseau utilisant Bash, sont susceptibles d’être affectés. Mais la véritable question est celle de l’exploitabilité de la vulnérabilité. Ainsi, Sophos assure qu’aucun de ses produits Linux ou Unix « n’utilise Bash d’une manière qui permettrait l’exploitation de cette vulnérabilité avec des données transmises depuis l’extérieur [du réseau] par un attaquant ». Et d’expliquer que « les attaquants devraient avoir besoin d’accès à Bash avant de pouvoir en utiliser la vulnérabilité ».

Des tentatives d’exploitation

Il n’en reste pas moins des cybercriminels hautement désireux de tirer profit de la vulnérabilité. Dans un entretien avec la BBC, Jamie Blasco, directeur des laboratoires d’AlenVault, indique ainsi avoir mis en place un pot de miel la semaine passé, et observer du trafic malicieux pour chercher à savoir si le système concerné est vulnérable. Deux attaques « exploitant activement la vulnérabilité et installant un logiciel malveillant sur le système » ont également été constatées.

Une demi-surprise alors que Rapid7 a récemment indiqué avoir mis à jour son kit Metasploit « pour assister à la détection et la vérification de ces problèmes. Des modules pour tester divers chemins d’exploitation sont disponibles tant pour Metasploit Community que pour Pro ». Et FireEye de souligner que des scripts d’exploitation de type proof-of-concept sont également disponibles, tout en détaillant plusieurs scénarios d’exploitation. Un script écrit en Python est par exemple proposé sur Github.

L’institut SANS indique quant à lui constater des efforts « agressifs » d’exploitation de la vulnérabilité, évoquant notamment l’outil d’administration cPanel. Et l’organisme n’est pas seul dans ce cas, certains relevant que des « milliers » de sites administrés avec cet outil sont potentiellement concernés.

Selon Robert Graham d’Errata Security, Masscan serait utilisé pour compromettre des systèmes vulnérables. Mais, surtout, Shellshock pourrait être utilisé pour constituer des vers se propageant d’eux-mêmes, rapidement. Et le SANS d’expliquer « observer des rapports de vers exploitant telnet sur les réseaux du ministère de la Défense aux Etats-Unis ». Le botnet Wopbot serait là à l’œuvre.

Se protéger

Mais comme d’autres, Kaspersky souligne que les systèmes affectés ne sont pas forcément vulnérables. Et PwC de formuler quelques conseils pour protéger les systèmes concernés, a court comme à moyen/long terme. Dans un billet de blog, le cabinet recommande ainsi de tester ses systèmes à la recherche de la vulnérabilité – « serveurs, systèmes réseau, mais aussi de surveillance et de sécurité. Examinez aussi les systèmes de contrôle de ventilation, de contrôle industriel, et de téléphonie pour vous assurer qu’ils ne sont pas vulnérables..» Et de rejoindre en là Kaspersky qui, dans un billet de blog, attire notamment l’attention sur les systèmes de contrôle industriel (ICS) et les Scada.

Pour PwC, il convient de s’attacher tout particulièrement aux systèmes accessibles depuis Internet, mais aussi de « superviser les logs réseau et applicatifs pour chercher des activités anormales », et de s’assurer que « les systèmes ne communiquent qu’avec des sources de confiance » et qu’aucun compte utilisateur suspect n’est créé sans suivre les processus internes applicables.