virtu-desk
  • La virtualisation
    • Les éditeurs
      • Citrix
      • Liquidware
      • Microsoft
      • Systancia
      • VMware
    • Les solutions
      • Les applications
      • Le poste de travail
      • Les serveurs
    • La mobilité
      • CYOD & bureau mobile
      • Enjeux et défis pour les entre
      • Qu'en pensent les entreprises
      • La mobilité et la virtualisati
      • Pourquoi une tablette au trava
    • Le cloud
      • Cloud computing
      • Cloud & Poste de travail
      • Le Cloud Computing en video
    • Les principes
    • Le V.D.I
  • L'écosystème
    • L'environnement utilisateur
      • AppSense User Virtualization
      • Norskale
      • ProfileUnity
      • RES Workspace Manager
      • vWorkspace
    • La containerisation
      • Les produits
      • Les éditeurs
    • Divers
      • Systancia Identity
      • Citrix Provisioning Server
      • Flex-IO
    • Audit/Supervision
      • Stratusphere FIT
      • Stratusphere UX
  • La sécurité
    • Produits Systancia
      • Systancia Access
      • Systancia Cleanroom
      • Systancia Gate
    • Bitdefender GravityZone
    • Recover2Cloud
    • Veeam Availability Suite
    • Stormshield Endpoint Security
  • Convergence & VDI
    • Convergentes
      • BladeSystem Matrix
      • Flexpod
      • PureFlex
      • Vblock
      • Virtual Compute
      • vStart
    • Hyper-convergentes
      • Atlantis HyperScale
      • Cisco HyperFlex
      • DataCore
      • Dell-EMC VxRail
      • Dell XC Series
      • EMC ScaleIO
      • HP Converged System
      • HP StoreVirtual VSA
      • Lenovo Série HX
      • Microsoft S2D
      • NetApp HCI
      • Nutanix
      • Pivot3
      • Scale Computing
      • Simplivity
      • VCE VxRack
      • Virtual SAN
      • VMware EVO:RAIL
  • L'actualité IT
    • La virtualisation du poste
    • Les infrastructures convergées
    • La sécurité
    • Divers
    • Les archives
      • La virtualisation du poste
      • Les infrastructures convergées
      • La sécurité
      • Divers

Blog - Divers

  • Lister les billets de la rubrique
    • Protocole RDP - vGPU RemoteFX versus DDA
    • Protocole RDP - Microsoft déprécie vGPU RemoteFX...
    • Mise en œuvre des meilleures pratiques de sécurité RDP
    • Rapport de l’enquête MIPS (Menaces Informatiques et Pratiques de Sécurité) 2020 pour les entreprises
    • Intervention de Cedric O sur les mesures d’urgences pour les entreprises de la FrenchTech
    • COVID-19 – Unité de crise exceptionnelle « Digital SAEU » à la disposition des entreprises…
    • ZTNA, le vaccin contre les épidémies virales ?
    • L’approche « Zero Trust »… Orthodoxie ou hérésie ?
    • Cleanroom Hawkeye – Franchir les limites du PAM…
    • « Petit Forestier » engage sa transformation digitale
    • Le groupe KLESIA restructure son système informatique…
    • Avencis Hpliance version 5 veut simplifier la gestion quotidienne des identités et des accès
    • Systancia annonce les premières étapes du Systancia Innovation Tour 2018
    • IPdiva Cleanroom. Un poste de travail administrateur totalement dédié, étanche et contrôlé !
    • Comment savoir si son processeur est affecté par les failles Meltdown et Spectre ?
    • IAM - Progresser sur la voie de la conformité au RGPD.
    • «Meltdown» et «Spectre». Des failles dans presque tous les processeurs
    • Systancia et sa Keynote 2017 en images...
    • Keynote Systancia 2017 : 4 innovations, VDI, PAM et SSO à venir découvrir.
    • Qu’est-ce qu’elle fait, qu’est-ce qu’elle a, qui c’est cette boite-là…
    • ANSSI - La transformation numérique ne se fera pas sans sécurité
    • IPdiva Secure - La seule solution recommandée par l’ANSSI, avec un certificat de premier niveau
    • Systancia aux Assises de la Sécurité et des Systèmes d'Information à Monaco
    • Protocole RDP 10 & Windows Server 2016 - Les améliorations graphiques...
    • Systancia modifie sa stratégie de ventes indirectes pour s'internationaliser
    • L'année 2016 chez Systancia
    • Le protocole Microsoft RDP à cœur ouvert…
    • Mises à jour pour les Services Bureau à distance dans Windows Server 2012 R2
    • Agence du Numérique – Rapport d’activité 2015-2016
    • Systancia se dote d’un Channel Manager et renforce son programme partenaires
    • Systancia IPdiva Secure – Contrôler et tracez les accès à votre SI.
    • Systancia « IPdiva Secure 8 » obtient la Qualification - Niveau Elémentaire de l’ANSSI
    • Mobilité - Avencis sécurise vos données...
    • Windows Server 2016 va alourdir le coût des plateformes SBC/VDI
    • Les NTC (Nutanix Technology Champions) 2016 « Made in France »
    • La fin pour Citrix en 2017 ?
    • Le nouveau cursus de formation chez SYSTANCIA
    • Microsoft Windows Nano Server. En adéquation avec Docker ?
    • Windows 2003 Server va s’éteindre sans feu et sans artifice ce 14 juillet 2015…
    • Systancia soutient la French Tech Alsace
    • Matrice du cycle de vie des produits Citrix
    • Intel lance ses puces serveurs Xeon E5 2600 v3
    • vGPU™ NVIDIA avec Citrix XenServer
    • Calculateur VDI en ligne
    • Sécurité des accès distants : Systancia fait son tour de France
    • A quoi la Silicon Valley ressemblait en 1991…
    • Toutes les annonces de VMworld Europe 2014
    • « ShellShock », vulnérabilité critique du shell GNU Bash
    • Le stockage Objet
    • Seulement 49% du trafic internet est généré par des Humains...
    • Technologie Intel® Hyper-Threading
    • Rien de grand ne s'est fait sans passion!
    • Script PowerCLI pour l'inventaire des VMDK
    • Conversion de modèles « ADM » vers « ADMX »
    • ThinPrint pour VMware View
    • Gestion des licences KMS en environnement VDI
    • VDI et traitement graphique 3D
    • Stockage et mémoire Flash
    • Citrix Convoi : la réunion virtuelle gratuite sur iPhone

Les catégories du blog

  • Résolution d'incidents
  • Virtualisation d'applications
  • Virtualisation de postes de travail
  • Virtualisation de serveurs
  • L'Ecosystème
  • Infrastructures (hyper) convergentes
  • Cloud & Big Data
  • Divers

Les tags du blog

AppliDis Citrix Cloud Convergence Divers EMC GPU Horizon View IPdiva Liquidware Labs Microsoft Nutanix SBC StratusphereUX Systancia sécurité VDI VMware VSAN XenApp
  • Accueil /
  • Tous les billets du blog /
  • Divers /
  • « ShellShock », vulnérabilité critique du shell GNU Bash

« ShellShock », vulnérabilité critique du shell GNU Bash

Par | Le mardi, 07 octobre 2014 | Commentaires (0) | Divers

 

L’Agence nationale de la sécurité des systèmes d’information invite les administrateurs système et responsables informatiques à prendre connaissance du Bulletin d’alerte CERT-FR relatif à la vulnérabilité CVE-2014-6271, dite « ShellShock », découverte le mercredi 24 septembre.

La vulnérabilité concerne de nombreux équipements (serveurs, routeurs, objets connectés) et les environnements Linux, Mac OS X et Windows (émulateur Cygwin). Des codes d’exploitation de cette vulnérabilité ont été rendus publics, ce qui laisse à craindre qu’ils soient utilisés à des fins malveillantes.

Le Bulletin d’alerte détaille les contre-mesures à déployer dès que possible. Il sera mis à jour au fur et à mesure de la mise à disposition de correctifs par les éditeurs.

Plus d’information sur le site du CERT-FR : http://www.cert.ssi.gouv.fr/site/CE...

5 questions sur la faille ShellShock visant Bash

Le monde du web tremble avec l’annonce d’une faille baptisée ShellShock qui touche l’interpréteur de commande Bash présent dans plusieurs systèmes. Plusieurs questions se posent sur cette menace, sa définition, son exploitation, son impact, etc.

A en croire les spécialistes de la sécurité, la faille ShellShock est pire que la vulnérabilité Heartbleed qui avait touché la librairie de chiffrement Open Source, OpenSSL. En visant l’interpréteur de commande Bash dans les systèmes Linux ou certains OS, elle ouvre la boîte de Pandore des risques et des menaces. Nous avons posé 5 questions à des spécialistes de la sécurité informatique pour en savoir plus sur cette vulnérabilité.

1 - Comment a été découvert ShellShock ?

La faille a été découverte par un français, Stéphane Chazelas, qui travaille actuellement en Angleterre pour le fournisseur de CDN Akamai. Spécialiste du monde Linux/Unix et des télécoms comme l’indique sa page personnelle, il a trouvé un bug dans Bash (Bourne-Again shell) qui est un interpréteur de lignes de commande via des scripts. Il existe depuis plus d’une vingtaine d’années années (1993) et est devenu l’interprète standard de plusieurs systèmes Unix et distributions Linux, mais aussi des systèmes d’exploitation comme Mac OS X, Android et de manière plus limitée Windows avec le projet Cygwin.

Dans un entretien accordé à FairFax Media, Stéphane Chazelas précise que la découverte s’est déroulée il y a deux semaines. Il a aussitôt alerté Chet Ramey, en charge du support du code source Bash. En parallèle, il a aussi averti des fournisseurs d’infrastructures web et des éditeurs de distribution Linux comme Debian, Red Hat, Ubuntu, SuSE et Mandriva. Le problème est que « cette découverte a été débattue rapidement sur des forums réduisant ainsi le temps pour trouver une réponse de la part de l’ensemble des acteurs », explique Thierry Karsenty, directeur technique Europe chez CheckPoint.

Concrètement, la faille ShellShock permet de modifier des variables d’environnement et d’exécuter du code à distance par le biais de scripts Apache CGI, des options DHCP et OpenSSH en s’appuyant sur Bash. ShellShock est souvent comparée à Heartbleed. Loïc Guezo, directeur Europe du Sud chez Trend Micro, écarte néanmoins cette analogie. « ShellShock n’est pas une faille traditionnelle. Dans le cas de Heartbleed, la vulnérabilité concernait la collecte de données, dans le cas de Bash, il s’agit d’une prise de contrôle d’un système ou d’un équipement. »

2 - Qui est touché par la faille ShellShock ?

Le responsable de Trend Micro souligne que dans cette affaire, « la prévalence de Bash dans le monde Linux est immense. On peut estimer à 500 millions le nombre d’équipements qui fonctionnent avec Bash ». Une analyse corroborée par Guillaume Lovet, expert en cybercriminalité chez Fortinet pour qui « 51% des serveurs web dans le monde tournent sous Apache (et donc probablement Linux, les deux allant généralement ensemble); or sur la plupart des distributions Linux, la version de Bash est vulnérable ».

Les fournisseurs de services web sont donc aux premières loges sur l’exposition à la faille. Pour Thierry Karsenty, les fournisseurs de Cloud se sont emparés rapidement du problème comme le montre la décision d’AWS de rebooter pendant le week-end son Cloud pour corriger Xen. Une décision qui pourrait être dictée par l’annonce de ShellShock.

« De nombreuses appliances et systèmes embarqués reposent sur cet interpréteur de lignes de commande », ajoute Arnaud Soullié, auditeur senior en sécurité pour Solucom. Les vecteurs d’attaques semblent illimités, allant des hotspots WiFi pouvant être compromis à travers le protocole DHCP ou les objets connectés qui embarquent des environnements Linux, jusqu’aux systèmes industriels. Même la monnaie virtuelle Bitcoin pourrait être impactée par cette faille. « Beaucoup de systèmes pour miner les bitcoins repose sur des appliances qui utilisent Bash. Par ailleurs, le Bitcoin Core qui est au centre de la synchronisation entre les différents groupes s’appuie également sur l’interpréteur de commande », constate Loïc Guézo.

Sur les systèmes d’exploitation, les experts en sécurité restent mesurés sur les conséquences de la faille. Apple a minimisé son impact sur les utilisateurs de Mac OS X. La firme de Cupertino a indiqué que « la grande majorité des utilisateurs Mac ne risquent rien », cela ne l’empêche pas de prévoir un correctif dans les prochains jours pour les clients concernés. Pour les distributions Linux, l’ensemble des éditeurs ont annoncé des mises à jour avec parfois quelques ratés comme Red Hat qui est revenu sur son premier correctif.

3 - Est-ce que la faille est utilisée ?

La réponse est clairement oui. Loïc Guézo confirme « une activité notamment avec la découverte d’un malware nommé Bash Lite qui utilise clairement la vulnérabilité pour s’installer sur des machines. Nous avons aussi identifié le serveur Commande et Contrôle qui s’oriente vers des attaques en DDoS ». Les autres éditeurs de sécurité constatent également une effervescence dans le cyberespace.

« Il s’agit d’une arme magique », s’exclame Thierry Karsenty et d’ajouter : « Tout le monde est en train de regarder ce qu’il peut faire avec cette arme qui est une véritable porte ouverte dans les systèmes d’informations y compris pour les gouvernements. On constate une forte progression de l’activité de scan de ports pour savoir quel matériel est vulnérable, un serveur, un routeur, des terminaux Android, etc. » A tel point que la faille n’est plus appelée ShellShock, mais Bashdoor en référence aux portes dérobées existantes. Pour Thierry Karsenty, il s’agit d’un effet de bord à la publication rapide de la découverte de la faille. « Nous sommes maintenant dans l’urgence et la pression pour corriger cette faille. »

4 - Comment savoir si on est vulnérable ?

Guillaume Lovet de Fortinet propose de réaliser un test echo. « Il suffit de lancer un terminal et de taper la commande suivante, en respectant les espaces : env var='() { :;};echo Vulnerable’ /bin/bash -c /bin/true. Si le résultat affiche « Vulnerable », alors le système est… Vulnérable ! »

Cette technique peut apparaître simple, mais rapportée à la surface d’attaque elle peut se révéler  compliquée à systématiser. Notamment en entreprise. « Cela va prendre du temps pour faire l’inventaire de ce qu’il faut corriger », prévient Thierry Karsenty. « On découvrira certainement des vieux systèmes qui fonctionnent toujours et qui utilisent Bash, mais qui n’auront pas nécessairement à faire l’objet d’un correctif. »

Une inquiétude pour le monde de l’entreprise partagée par Loïc Guézo. « Il existe beaucoup de piles dans le système d’information aujourd’hui et Bash s’inscrit dans l’outil de production, il est donc très difficile de travailler dans l’urgence. » Trend Micro propose néanmoins pour les utilisateurs des outils pour savoir si les équipements et les PC sont vulnérables à ShellShock.

5 - Quels sont les remèdes ?

En premier lieu, il est impératif de mettre à jour les équipements ou les différents OS avec les correctifs émis par les éditeurs. La plupart d’entre eux ont été réactifs pour proposer des patchs, mais il ne s’agit pas du remède idéal. « Le correctif de sécurité publié est incomplet, et des preuves de concept (PoC) permettant d’exploiter la vulnérabilité après application du correctif existent », précise Arnaud Soullié de Solucom.

Il n’en demeure pas moins que pour l’instant la mise à jour est la première solution préconisée. En complément, les fournisseurs de solutions de sécurité recommandent d’utiliser les infrastructures de sécurité existantes pour trouver des parades et limiter les dégâts. « Il est intéressant d’avoir des systèmes de protection (notamment, dans ce cas, IPS), qui vont protéger les systèmes vulnérables pendant que les patchs sont en test », soumet Guillaume Lovet. L’analyse contextuelle devra être sollicitée de plus en plus en analysant « les volumétries, les comportements, les flux » de certaines applications et des systèmes, prévient Thierry Karsenty.

Au final, les premiers remèdes sont déjà disponibles, mais il faudra attendre les prochains jours ou semaines pour avoir des réponses complètes pour se protéger ou réduire l’impact des attaques via la faille ShellShock.

 

Sources de ce document sur ces deux liens : Lien1  Lien2

Divers sécurité

Articles similaires

Rapport de l’enquête MIPS (Menaces Informatiques et Pratiques de Sécurité) 2020 pour les entreprises

À travers cette étude, le Clusif (Club de la Sécurité de l’Information Français) présente les tendances et faits marquants des politiques de sécurité, des incidents de sécurité et …

ZTNA, le vaccin contre les épidémies virales ?

Epidémies virales ou contaminations cybercriminelles, peu importe les termes que l’on utilise pour parler de ce fléau, les attaques informatiques n’ont jamais été aussi nombreuses et matures qu'aujourd'hui, l…

Aucune note. Soyez le premier à attribuer une note !

Vous devez être connecté pour poster un commentaire

                                www.virtu-desk.fr                                                      « Les technologies de virtualisation de l'environnement utilisateur »

            A propos

  • Mentions légales
  • CGU

 

         Contacts

  • Me contacter
  • Modération

   

               Me suivre

Twitter        Viadéo       Linked

Twitter 2    Vimeo    Linked in

 

           Abonnnement aux flux RSS

   Site         Blog         Agenda     Forum

Rss   Rss    Rss   Rss

 Copyright 04-2014 - Francis MILLOT

 

 

 

 

 

 

 

  • Mentions légales
  • Conditions générales d'utilisation