Une nouvelle vulnérabilité critique CVE-2014-6271 a été publiée le 24/09 par Stéphane Chazelas dans le célèbre shell linux Bash. Cette dernière a été surnommée Shellshock et permet d’injecter des commandes systèmes à distance.
Cet Interprète de commande est présent sur la grande majorité des distributions Linux et est le composant sous-jacent d’une large majorité de programme, notamment des programmes CGI beaucoup utilisés par les applications WEB. C’est pourquoi, bien souvent, il est possible d’éxécuter des commandes a distance ce qui est sûrement pour beaucoup responsable du score maximum dans la notation de l’impact et exploitabilité de la vulnérabilité.
GNU Bash jusqu’à sa version 4.3, traite les chaînes de caractères suivant une définition de fonctions dans les variables d’environnement.
Ainsi, si la ligne de code suivante (lancée localement sur votre serveur) affiche « VULN« , cela indique que votre version de bash est impactée par la vulnérabilitée.
$ env var='() { ignore this;}; echo VULN’ bash -c /bin/true
Cela ne veut pas pour autant dire que cette vulnérabilité est exploitable. En effet, pour pouvoir être exploitée à distance, il faut qu’un vecteur d’attaque permettant de faire le lien entre les données malicieuses envoyées par l’utilisateur et l’instance de bash. Un environnement de scripts CGI(mod_cgi, fastcgi) est le vecteur plus couramment rencontré.
Si un serveur donné est vulnérable, il faut désormais tester s’il est exploitable. Pour ce faire, on peut par exemple lancer la commande suivante à partir d’un système connecté à Internet:
$ curl -A « () { :; }; echo VULN » {URL}
Si la réponse du serveur contient « VULN » alors la réponse du serveur contiendra VULN.
En revanche, l’absence de ce message ne signifie pas une absence de VULN. Il n’y a pas de moyen infaillible (sans faux-négatifs) de détecter la présence de cette vulnérabilité. Néanmoins, en utilisant un pingback comme payload envoyé au serveur, on a, dans la grande majorité des cibles vulnérables, une réponse positive.
Ci-dessous, on peut voir la connexion TCP de notre cible de test vers un serveur internet nous appartenant. Le payload injecté est affiché ci-dessous:
telnet
- Shellshock Pingback TCP proof-of-concept
Enfin, il existe des solutions près à l’emploi, pour tester la vulnérabilité du site à partir d’un serveur internet. Elles offrent un confort d’utilisation mais n’ont finalement que peu de valeur ajoutée par rapport au test précédent. Aussi, elles seront surtout réservées à ceux qui sont vraiment allergiques à la ligne de commande.
La plateforme de test paraissant la plus sérieuse est accessible à l’adresse suivante https://shellshocker.net/.
Le premier patch publié n’a pas permis de combler complètement la vulnérabilité ce qui a conduit a une nouvelle vulnérabilité. Parallèlement, de nombreuses autres vulnérabilités similaires ont été découvertes dans la lancée:
CVE-2014-6277
CVE-2014-6278
CVE-2014-7169
CVE-2014-7186
CVE-2014-7187
Ces vulnérabilités ont été regroupées de manière non-officielle sous le nom d’AfterShock.
Depuis, des patchs de meilleure facture sont apparus pour la plupart des distributions Linux et corrigent efficacement cette possibilité d’injecter des commandes systèmes.
Voici quelques informations pour corriger cette vulnérabilité :
- Distributions basés sur apt-get (Ubuntu, Debian, …):
# apt-get install --only-upgrade bash
- Equippement/Machine ayant la possibilité de recompiler les sources et basé sur une distribution Linux sans gestionnaire de paquet ou ne bénéficiant pas encore d’un patch : https://shellshocker.net/fixbash (le script va récupérer automatiquement les sources de bash 0 https://ftp.gnu.org/gnu/bash/bash-4.3.tar.gz et appliquer l’ensemble des patchs de sécurité https://ftp.gnu.org/gnu/bash/bash-4.3-patches/ ).
- Equippement/Machine dans le même cas que ci-dessus mais n’ayant pas la possibilité de recompiler les sources : PAS DE SOLUTION
- Juniper:
- Produits vulnérables devant appliqués les patchs de Juniper (corrigeant pour le moment uniquement CVE-2014-6271) http://www.juniper.net/support/downloads/ :
- Junos Space
- JSA Series (STRM)
- NSM Appliances (NSM3000 and NSMExpress)
- Produits vulnérables devant appliqués les patchs de Juniper (corrigeant pour le moment uniquement CVE-2014-6271) http://www.juniper.net/support/downloads/ :
-
- Produits utilisant bash mais non-vulnérables:
-
-
- SSL VPN
- UAC
- CTPView
- QFabric
- DDOS Secure
- JWAS
- vGW
- SRC
- Junos Pulse Endpoint Profiler
-
-
- Produits non concernés :
- Junos OS
- ScreenOS
- JunosE
- ADC
- SRX-IDP
- ISG-IDP
- WX
- MFC
- Produits non concernés :
- Cisco
- Produits vulnérables devant suivre les recommandations Cisco http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bash :
Network Application, Service, and Acceleration
-
-
- Cisco ASA CX [CSCur01959]
- Cisco Application Control Engine (ACE30/ ACE 4710) [CSCur02195]
- Cisco Wide Area Application Services (WAAS) [CSCur02917]
-
Network and Content Security Devices
-
-
- Cisco Identity Services Engine (ISE) [CSCur00532]
- Cisco Intrusion Prevention System Solutions (IPS) [CSCur00552]
- Cisco Secure Access Control Server (ACS) [CSCur00511]
-
Network Management and Provisioning
-
- Cisco Unified Intelligence Center (UIC) [CSCur02891]
Routing and Switching – Enterprise and Service Provider
-
-
- Cisco Cisco Application Policy Infrastructure Controller [CSCur01249]
- Cisco IOS-XE [CSCur03368]
- Cisco MDS [CSCur01099]
- Cisco Nexus 1000V [CSCur04438]
- Cisco Nexus 3000 [CSCur04934]
- Cisco Nexus 4000 [CSCur05610]
- Cisco Nexus 5000 [CSCur05017]
- Cisco Nexus 7000 [CSCuq98748]
- Cisco Nexus 9000 [CSCur02700]
-
Unified Computing
-
-
- Cisco UCS [CSCur01379]
-
Voice and Unified Communications Devices
-
-
- Cisco Unified Communications Manager Session Management Edition (SME) [CSCur00930]
-
Video, Streaming, TelePresence, and Transcoding Devices
-
-
- Cisco Edge 300 Digital Media Player [CSCur02761]
- Cisco Edge 340 Digital Media Player [CSCur02751]
- Cisco Insight reporter [CSCur04977]
- Cisco TelePresence Conductor [CSCur02103]
- Cisco TelePresence IP Gateway Series [CSCur04984]
- Cisco TelePresence IP VCR Series [CSCur04993]
- Cisco TelePresence ISDN GW 3241 [CSCur05010]
- Cisco TelePresence ISDN GW MSE 8321 [CSCur05010]
- Cisco TelePresence ISDN Link [CSCur05025]
- Cisco TelePresence Video Communication Server (VCS/Expressway) [CSCur01461]
- Cisco TelePresence endpoints (C series, EX series, MX series, MXG2 series, SX series) and the 10″ touch panel [CSCur02591]
- Tandberg Codian ISDN GW 3210/3220/3240 [CSCur05010]
- Tandberg Codian MSE 8320 model [CSCur05010]
-
-
- Produits non vulnérables:
- Cisco Adaptive Security Appliance (ASA)
- Cisco IOS
- Cisco IOS-XR running on
- Produits non vulnérables:
-
-
-
- Cisco ASR 9000 Series Aggregation Services Routers
- Cisco CRS Router
- Cisco XR 12000 Series Router
-
-
- Cisco IronPort ESA/SMA
- Cisco Private Internet eXchange (PIX)
- Cisco Sourcefire Defense Center and Sensor products
- Cisco Wireless LAN Controller (WLC)
-
- F5:
Les utilisateurs d’équippements réseaux F5 devront suivre les recommdations et utilisé la solution F5 pour leur équippement http://support.f5.com/kb/en-us/solutions/public/15000/600/sol15629.htmlProduct Versions non vulnérables Versions vulnérables Composant vulnérable BIG-IP LTM 11.0.0 – 11.6.0
10.0.0 – 10.2.4None Bash shell BIG-IP AAM 11.4.0 – 11.6.0 None Bash shell BIG-IP AFM 11.3.0 – 11.6.0 None Bash shell BIG-IP Analytics 11.0.0 – 11.6.0 None Bash shell BIG-IP APM 11.0.0 – 11.6.0
10.1.0 – 10.2.4None Bash shell BIG-IP ASM 11.0.0 – 11.6.0
10.0.0 – 10.2.4None Bash shell BIG-IP Edge Gateway 11.0.0 – 11.3.0
10.1.0 – 10.2.4None Bash shell BIG-IP GTM 11.0.0 – 11.6.0
10.0.0 – 10.2.4None Bash shell BIG-IP Link Controller 11.0.0 – 11.6.0
10.0.0 – 10.2.4None Bash shell BIG-IP PEM 11.3.0 – 11.6.0 None Bash shell BIG-IP PSM 11.0.0 – 11.4.1
10.0.0 – 10.2.4None Bash shell BIG-IP WebAccelerator 11.0.0 – 11.3.0
10.0.0 – 10.2.4None Bash shell BIG-IP WOM 11.0.0 – 11.3.0
10.0.0 – 10.2.4None Bash shell ARX 6.0.0 – 6.4.0 None Bash shell Enterprise Manager 3.0.0 – 3.1.1
2.1.0 – 2.3.0None Bash shell FirePass None 7.0.0
6.0.0 – 6.1.0None BIG-IQ Cloud 4.0.0 – 4.4.0 None Bash shell BIG-IQ Device 4.2.0 – 4.4.0 None Bash shell BIG-IQ Security 4.0.0 – 4.4.0 None Bash shell LineRate None 2.4.0 – 2.4.1
2.3.0 – 2.3.1
2.2.0 – 2.2.4
1.6.0 – 1.6.3None
- Websense
-
Produit Statut Proxy Vulnerable Data Security Suite Vulnerable Data Endpoints Vulnerable Data Security Suite Vulnerable Data Enda Vulnerable Email Security Gateway Vulnerable Email Log Server Vulnerable Email Anywhere Vulnerable Email Security Gateway Vulnerable Email Log Server Vulnerable V-Series Appliances Vulnerable X-Series Appliances Vulnerable
- Trend Micro
Product | Status |
Trend Micro – Gateway products. IWSVA/IMSVA | Vulnerable |
OfficeScan | non vulnerable |
Control Manager | non vulnerable |
Deep Security | Vulnerable |
- McAfee
Produit | Statut |
SIEM | Vulnerable |
MWG | Vulnerable |
NGFW | Vulnerable |
MFE | Vulnerable |