code source
Publié le - 1468 hits -

La faille ShellShock !

La faille Shellshock n’affectera pas seulement des serveurs web. Elle s’attaquera également à différents objets comme les téléphones portables, les appareils médicaux et les routers. Cette faille est donc pire que HeartBleed qui impactait seulement la confidentialité des données. De plus l’attaque de la faille Shellshock est réalisable à travers le réseau, ce qui fait qu’un cyber attaquant aura la possibilité de bousiller l’accessibilité, la confidentialité et l’intégralité des données.

Pour tester dasn un terminal ou en SSH :

x='() { :;}; echo vulnerable' bash -c "echo Hello"

Si vous obtenez voter système est vulnérable :

vulnerable

Hello

Si vous obtenez cela c'est ok :

Hello

Comment fonctionne Shellshock ?

Shell est un langage de programmation. Une interface donnant la possibilité à une personne de communiquer avec un ordinateur. Lors du dialogue, l’individu ne sera pas obligé d’appuyer sur des icônes ou encore sur des fenêtres, les commandes peuvent directement être envoyées à cette interface. Et sur beaucoup de serveurs Linux, Unix et BSD, c’est Shell qui est utilisé. Son attaque reste forte, car au moment de l’exécution du programme, Shell charge des transitoires d’environnent et autorise aussi à charger des fonctions. C’est dans le parsing de cette fonction que loge le souci et ainsi à la fin de la fonction, un attaquant pourra injecter des commandes.