Shellshock (faille informatique)

Pour les articles homonymes, voir Shellshock.

Cet article est une ébauche concernant la sécurité de l'information.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Un des symboles utilisés pour le *Shellshock*.

Shellshock, aussi appelé Bashdoor, est une vulnérabilité logicielle présente dans le shell Unix bash. Elle a été découverte en septembre 2014^[1].

De nombreux serveurs réseaux, tels que les serveurs web, utilisent bash pour traiter certaines commandes, ce qui permet à un attaquant d'exécuter des commandes arbitraires sur les versions vulnérables de cette interface système. Cela peut donc permettre à un « attaquant » d'obtenir un accès non autorisé à un système informatique.

Les cas particuliers où cette faille peut être utilisée

Serveur web utilisant CGI

Quand un serveur web sous Unix ou linux (apache ou autres) utilise Common Gateway Interface (CGI), il est possible que le shell utilisé soit le bash, et dans ce cas, sur les anciennes versions de bash, le serveur web sera vulnérable à une attaque shellshock.

Plus techniquement, l'attaque utilise une variable d'environnement (par exemple HTTP_USER_AGENT) et la fonction system(3).

Serveur DHCP

Sur des serveurs DHCP (Unix ou linux) utilisant le wi-fi et une version trop ancienne de bash, une attaque shellshock pourra être effectuée avec succès.

Serveur de messagerie

Pour certaines configurations, le serveur de messagerie qmail pourrait être vulnérable à une attaque shellshock^[2].

Serveur SSH

L'attaque se sert de la variable d'environnement SSH_ORIGINAL_COMMAND et de la spécification "ForceCommand".

Notes et références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Shellshock (software bug) » (voir la liste des auteurs).

↑ « Shellshock, la faille qui sème la panique », sur courrierinternational.com, 26 septembre 2014 (consulté le 4 octobre 2014)
↑ "qmail is a vector for CVE-2014-6271 (bash "shellshock")", Qmail users mailing list

Sur les autres projets Wikimedia :

Shellshock (faille informatique), sur Wikimedia Commons

Liens externes

Site décrivant en français le fonctionnement de la faille et les mesures correctives
Alerte de l'ANSSI CERTFR-2014-ALE-006

v · m Hacking dans les années 2010
Incidents	Opération Titstorm (en) (2010) Opération Shady RAT (2006-2011) Operation Payback (2010) Piratage de DigiNotar (2011) Operation Tunisia (2011) Piratage du PlayStation Network (2011) Operation AntiSec (en) (2011-12) United States v. Swartz (en) (2010) Fuites de Stratfor par Wikileaks (en) (2012-13) Piratage LinkedIn (2012) Cyberattaque contre la Corée du Sud (2013) Piratage Snapchat (2014) Opération Tovar (en) (2014) Fuite des photos de personnalités d'août 2014 Cyberattaque contre JPMorgan Chase (2014) Piratage de Sony Pictures Entertainment (2014) Cyberattaque contre TV5 Monde (2015) Violation de données de l'OPM (2015) Cyber-braquage de la banque centrale du Bangladesh (2016) Cyberattaque WannaCry (2017) Cyberattaque Adylkuzz (2017) Cyberattaque NotPetya (2017)
Groupes	AnonGhost Anonymous (événements associés) Armée électronique syrienne Bureau 121 Dark Basin Derp Equation Group GNAA (simple) Goatse Security Hacking Team LulzRaft LulzSec NullCrew (en) OurMine RedHack TeaMp0isoN (en) Tailored Access Operations UGNazi Unité 61398 The Shadow Brokers
Hackers individuels	Donncha O'Cearbhaill Jeremy Hammond George Hotz Guccifer « Sabu » Hector Monsegur (en) Topiary (en) The Jester weev Jan Krissler (Starbug)
Vulnérabilités découvertes	Heartbleed (2014) Shellshock (2014) POODLE (2014) JASBUG (en) (2015) Stagefright (2015) DROWN (2016) Badlock (en) (2016) Dirty COW (2016) EternalBlue (2017) Meltdown (2018) Spectre (2018) ZombieLoad (2019) Kr00k (2019)
Logiciels malveillants	Babar Careto / The Mask (en) CryptoLocker Dexter Duqu FinFisher Flame Jigsaw Gameover ZeuS (en) Mahdi Metulji botnet (en) NSA ANT catalog (en) R2D2 (trojan) Regin Shamoon (en) Stars virus Stuxnet TeslaCrypt Petya Triton VPNFilter Wirelurker