Archives par mot-clé : ShellShock

1 milliard de données personnelles identifiables divulguées en 2014

L’équipe de recherche et développement IBM X-force vient de publier son rapport trimestriel sur son analyse des menaces avancées. Ce rapport dévoile qu’au moins 1 milliard de données personnelles identifiables (PII) ont été divulguées en 2014.

Le rapport 2015, qui met également en évidence les résultats du dernier trimestre 2014, a recensé plus de 9 200 nouvelles failles de sécurité affectant plus de 2 600 fournisseurs, ce qui représente une augmentation de 9,8% par rapport à 2013 et constitue l’augmentation la plus importante en une seule année depuis que le rapport X-Force a été créé il y a 18 ans.

Selon ce rapport (qui ne prend en compte que les informations d’IBM, NDR), le nombre total de failles enregistrées en 2014 était de près de 20% plus élevé qu’en 2013 (où l’on enregistrait 800 millions de données divulguées). 74,5%, le nombre d’incidents enregistrés aux Etats-Unis, ce qui est beaucoup plus élevé que dans les autres pays. Une majorité (40,2%) des types d’attaques les plus courants n’ont pas été identifiés. Les logiciels malveillants (malwares) et les DDoS (déni de service distribué) arrivent en seconde position avec un taux de 17,2% chacun. La divulgation par l’US-CERT d’une classe de vulnérabilités affectant des milliers d’applications Android qui mettent à mal les certificats SSL représentent 15% du total pour l’année, portant peu à peu le décompte final à un nouveau sommet historique.

Les chercheurs attribuent largement ces chiffres croissants à l’augmentation de l’indifférence des développeurs en matière de sécurité. Ces derniers ont été lents à mettre en œuvre des « patches » en dépit des avertissements et de la sensibilisation accrue aux vulnérabilités. En fait, 10 des 17 (59%) applications bancaires utilisant Apache Cordova qui ont été initialement divulguées en octobre 2014 étaient encore vulnérables en janvier de cette année.

Le rapport montre également une augmentation des vulnérabilités de « conception », qui sont de plus en plus meurtrières, très reconnaissables, ayant des noms et logos accrocheurs (par exemple : Heartbleed et Shellshock) et qui devraient désormais être prises en compte dans la conception et le développement. Ces vulnérabilités ont révélé des failles facilement exploitables dans les systèmes de base et les bibliothèques sous-jacentes qui supportent presque toutes plateformes web et les systèmes de gestion de contenu habituels.

Attaques à l’encontre de serveurs SMTP

Depuis plusieurs jours, des pirates s’attaquent à certains serveurs SMTP avec la faille de sécurité Shellshock. Le mystére le plus complet plane sur cette attaque informatique.

Le CERT Renater, en charge de la sécurité informatique des établissements scolaires et universitaires s’est inquiété, le 4 novembre dernier, d’une mystérieuse attaque numérique visant des serveurs SMTP vulnérables à la faille Shellshock (Bash). L’objectif serait d’intégrer les serveurs faillibles à un réseau de botnet.

Un bot IRC écrit en PERL serait installé dans les serveurs piégés. Le CERT Renater indique que la France serait visée par ces tentatives d’infiltrations. La charge d’attaque est dissimulée dans des champs d’entête de courriers électroniques spécialement formatés (To, From, CC, Subject, Date, Comments, Keywords, Resent-Date, Resent-From, Message-ID, …). Les méthodes curl, wget, fetch sont invoquées pour récupérer le bot IRC via l’ip 178.254.31.165. « On ne trouve pas d’information pour l’instant sur la porte d’entrée recherchée par les attaquants » souligne le CERT. Le serveur SMTP sur lequel ce type d’attaque pourrait fonctionner reste un mystère. (Binary Defense)

 

Yahoo! piraté via la faille Bash ?

La faille Bash Bug, annonçait la semaine dernière comme particulièrement grave, aurait été exploitée contre les géants de l’Internet Yahoo! et Lycos.

Un Bash est une commande qui se trouve sur l’OS Unix et qui autorise les utilisateurs à entrer un ordre sous forme de texte convertit en commande, à laquelle l’OS répondra. Il est présent sur Linux et MAC OS (OS X). Bash a été créé voilà 25 ans. Une faille de taille, baptisée Bash Bug ou encore Shellshock, a été découverte dans ce dernier en septembre. Sa dangerosité est comparée à la faille Heartbleed. Voilà quelques jours, un chercheur en sécurité informatique, Johnathan D. Hall, il est le responsable de Future South Technologies, a annoncé avoir découvert que des pirates avaient trouvé le moyen d’exploiter Bash Bug sur deux serveurs de Yahoo! (api118.sports.gq1.yahoo.com et dip4.gq1.yahoo.com). Il a découvert un chan IRC qui diffusait des serveurs faillibles au Bash Bug. Des serveurs mis à jour à partir de scripts malveillants cachés sur le web, dont un sur le site de la société WinZip Computing, la même qui produit le logiciel de compression WinZip. Yahoo a confirmé l’intrusion et enquête pour connaitre son importance. Yahoo! indique cependant que les pirates auraient exploité une autre faille.

Bash Bug plus grave que prévue ?
Cette vulnérabilité pourrait avoir des répercussions bien plus graves et importantes que Heartbleed. Ce dernier permettait « uniquement » à un pirate de voler des données via un processeur d’authentification (SSl/TLS). BashBug permet à des malveillants d’exécuter arbitrairement des commandes grâce à cette faille de sécurité. Ce qui est bien plus dangereux que de voler des données et réaliser des attaques sophistiquées. BashBug a la capacité de pénétrer le réseau de n’importe quelle entreprise, alors que Heartbleed organisait des attaques « aléatoires ». Le hacker devait faire plusieurs tentatives, au hasard, avant d’accéder à un serveur contenant des données ayant une valeur. BashBug est une faille beaucoup plus « agressive ». Dès qu’une cible est identifiée et vulnérable, une simple commande suffit pour exécuter un ordre malveillant. Avec Heartbleed, il était clair pour l’opinion publique que les données sensibles des utilisateurs est un enjeu, alors que l’impact du Shellshock pour n’importe quel utilisateur est encore flou. Shellshock est une faille « technique » qui préoccupera davantage la communauté Technique. De plus, il n’est pas aisé de détecter quelles applications utilisent Bash.

Les différentes cibles de BashBug
Pour les entreprises, la plus grande menace est si vos serveurs sont opérés par Linux. Aujourd’hui c’est un standard de sécurité pour les entreprises de séparer leurs serveurs web de ceux qui contiennent des données sensibles, ce qui diminue significativement les risques d’intrusion via la faille Bash. Ces serveurs ont beaucoup d’autres mécanismes de défenses qui préviennent contre les attaques de BashBug.

Pour les particuliers, Heartbleed a représenté un risque potentiellement élevé et immédiat pour les particuliers, car les données bancaires et mots de passe statiques pouvaient être interceptés par les pirates. Dans le cas de la faille Bash, il est peu probable que les hackers s’attaquent à de simples ordinateurs à usage privé, car il existe des méthodes d’attaque bien plus puissantes, déjà utilisées et à grande échelle. Il s’agit notamment des attaques de type phishing, malware ou encore social engineering.

Bash Bug : mesures urgentes et nécessaires pour les entreprises

Bash Bug ou ShellShock : voilà le nom de la nouvelle faille de sécurité qui vient d’être découverte au sein du programme Bash, un interpréteur en ligne de commande présent sur plusieurs systèmes Linux mais aussi Unix et OS X.

Cette vulnérabilité serait générée par l’exécution d’un code malicieux permettant de prendre le contrôle du système d’exploitation et de ce fait, d’accéder à toutes les données stockées sur les différents équipements. Des rapports avancent que de nombreux programmes exécutent le shell Bash en tâche de fond et que l’attaque est déclenchée dès que le code supplémentaire est ajouté au code Bash. Bien qu’elle vienne tout juste d’être identifiée, la faille serait du même niveau de gravité que Heartbleed révélée en avril dernier, ce qui signifie qu’un très grand nombre de systèmes et d’appareils vont très probablement être touchés.

Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, a fait les commentaires suivants : « Les entreprises vont devoir réagir et prendre les mesures nécessaires rapidement face à cette nouvelle attaque car il semblerait que de très nombreux appareils connectés soient exposés à d’importants risques. Si la faille est exploitée par les hackers, ils auront une longueur d’avance pour récupérer les données sensibles et confidentielles, mettre la main sur tout type d’information, des identifiants en passant par les mots de passe ou encore les données bancaires et personnelles. Il est clair que les conséquences d’une telle attaque peuvent être très graves et un nombre considérable d’individus et d’organisations sont susceptibles d’être touchés. »

$ env x='() { :;}; echo vulnerable’  bash -c « echo this is a test »

Alors que les antivirus et les firewalls sont les logiciels de base utilisés par les entreprises pour assurer leur sécurité informatique, ils ne suffiront pas pour arrêter les pirates et pour lutter contre cette cyberattaque. Ainsi, aujourd’hui plus que jamais, il est nécessaire que les organisations adoptent des solutions de sécurité complémentaires pour limiter des dommages qu’une telle faille peut engendrer. Une mesure efficace pour protéger ses ressources serait la mise en place d’outils permettant de fournir une visibilité complète de l’activité réseau. Non seulement les entreprises peuvent mettre ces solutions en place relativement rapidement, un enjeu majeur en raison du contexte, mais elles peuvent également bénéficier d’alertes en temps réel en cas d’activité anormale. Elles sont dès lors en mesure de réagir et de remédier aux éventuelles menaces immédiatement, avant que les conséquences ne soient trop lourdes.

Les cyberattaques contre les entreprises deviennent de plus en plus fréquentes et il n’y a aujourd’hui rien qui excuse les organisations de ne pas disposer des moyens de défense adéquats pour y faire face. Il est encore difficile de savoir si cette faille baptisée Bash Bug ou ShellShock peut être entièrement corrigée dans la mesure où de nombreux appareils considérés comme anciens ne pourront pas recevoir de patchs de sécurité. Dans ce cas, les organisations doivent se protéger du mieux qu’elles le peuvent en utilisant des outils qui leur permettront d’avoir une visibilité accrue de ce qu’il se passe sur leur réseau en temps réel. Aujourd’hui, la question n’est plus de savoir si une entreprise sera attaquée mais quand, et si les mesures nécessaires ne sont pas prises pour remédier à ce Bash Bug, cela se produira encore plus rapidement.