Lorsque nous avons évoqué dans nos actualités la faille récemment découverte dans BASH, nous avons dit que cette faille est d'une ampleur similaire à Heartbleed. En fait nous aurions certainement du dire : dramatiquement plus grave que Heartbleed, dramatiquement grave...

Exploiter la faille Heartbleed est assez difficile. Certes, cela permet de voler des données sensibles dans la mémoire de la machine attaquée, comme par exemple un certificat de sécurité, mais il n'est pas certain que les données susceptibles d'être volées soient systématiquement accessibles et/ou exploitables. Avec la faille BASH, nous jouons, si je puis dire, dans une toute autre catégorie : n'importe quel hacker de niveau moyen a de très grandes chance de fracturer vos serveurs, pour ne pas dire qu'il est certain de pouvoir le faire.

Si vous administrez des Linux, ou des UNIX, ou des FreeBSD ou n'importe quel système dans lequel est installé BASH, dites-vous bien que vous êtes vulnérables, sans même prendre la peine de vous demander où. Vous savez que vous êtes vulnérables, donc vous patchez, de toute urgence. Fort heureusement les distributions Linux et autres ont déjà publié des correctifs.

J'ai vu sur un forum vendredi dernier, un conseil du genre : pas de panique, il faut déjà que quelqu'un soit connecté à votre serveur pour exploiter la faille BASH.

Ceci est malheureusement totalement faux !...

Vous êtes vulnérables et il est possible de créer un accès sur votre serveur avec un outil de base, par exemple curl. Deux lignes saisies dans le shell d'un autre Linux et c'est réglé: la première ligne :

curl -k -H 'User-Agent: () { :;}; /bin/mkdir /var/www/.ssh' http://votre-domaine/cgi-bin/un-script.sh

Ce code va créer un répertoire .ssh sur la machine attaquée. L'attaque réussira pour peu qu'il y ait un script Shell dans le répertoire cgi-bin du serveur ou bien simplement un binaire qui invoque un script.

Ne cherchez même pas si vous avez ça sur vos machines : vous avez :-)

Ca peut-être la présence d'un outil d'administration, ou, cas très fréquent par exemple, des scripts CGI invoqués par des solutions de paiement, qu'un de vos clients que vous hébergez a déposé sous son domaine.

Donc comme la faille est là, le hacker n'a qu'à envoyer la deuxième ligne :

curl -k -H 'User-Agent: () { :;}; echo "ssh-rsa AAA[...]" >/var/www/.ssh/authorized_keys' http://votre-domainet/cgi-bin/un-script.sh

Par cette ligne ravageuse, l'attaquant uploade sa clé RSA publique sur votre machine :  il peut désormais se connecter à volonté. Il n'a plus qu'à uploader un rootkit et obtenir ainsi un accès root. Vous être mort.

Patchez vos serveurs, ça urge !