[ShellShock] Vulnérabilité Bash visant les serveurs WEB

[Malekal_morte]

Une nouvelle vulnérabilité CVE-2014-6271, CVE-2014-7169 sur l'interpréteur en ligne de commandes bash permet de pirater les serveurs WEB à distance sous Linux.
(Les MacOSX utilise bash sont aussi vulnérables).

Cette vulnérabilité est critique (certainement plus que la fameuse vulnérabilité HeartBleed et déjà activement exploitée.
Les serveurs embarquant du CGI (notamment ayant du Plesk) sont vulnérables, ce qui fait un nombre de serveur non négligeable: http://blog.sucuri.net/2014/09/bash-vul ... -risk.html

Le test suivant permet de savoir si une machine est vulnérable :

Code : Tout sélectionner

env X="() { :;} ; echo vulnerable" /bin/bash -c "echo test"

Une machine vulnérable :

bash_vulnerable.png

Une machine non vulnérable :

bash_nonvulnerable.png

Le Poc suivant permet de faire redémarrer un serveur DHCP à distance en exploitant cette vulnérabilité : http://pastebin.com/S1WVzTv9

Exemple de tentative de piratage :

Bash_attack2.png

ce qui permet de charger un Perl.Shellbot afin de contrôler le serveur à distance.
=> https://www.malekal.com/2014/09/26/perl ... sh-attack/

Bash_attack.png

Si vous êtes en possession d'un serveur WEB sous Linux, il est vivement recommandé d'effectuer une mise à jour surtout si le serveur WEB a le module CGI chargé.