La faille Shell Shock Bash atteint aussi des serveurs de VoIP
La faille Heartbleed a tenu en haleine la communauté des RSSI pendant des mois, Shell Shock Bash prend le même chemin. Il s'agit de la vulnérabilité CVE-2014-6271 sur GNU bash qui permet d'exécuter du code arbitraire à distance
Shellshock affecte Bash (le Bourne Again Shell), l'interpréteur de commandes par défaut pour Linux, Unix et même Mac OS X. Rendu public cette semaine, le bug est repéré dans de multiples environnements, il a été trouvé dans le protocole d'initiation de session d'un serveur SIP explique Jaime Blasco, directeur de AlienVault Labs. Comme de nombreux fournisseurs utilisent des serveurs similaires, la vulnérabilité est probablement très répandue dans le monde de la VoIP.
Jaime Blasco a refusé de livrer le nom du fournisseur en cause. "Je suis sûr qu'il y a un tas de fournisseurs, sinon beaucoup d'entre eux, que vous pouvez mentionner sur le sujet». Un serveur SIP, qui opère souvent sous Unix ou Linux, est le composant principal d'un système de VoIP pour la configuration et l'ajout de nouveau matériel téléphonique au système. En revanche, le serveur ne peut pas transmettre ou recevoir de l'audio, qui est généralement géré par un serveur de médias à part.
Des serveurs SIP sous GNU Bash
Beaucoup de ces serveurs SIP fonctionnent sous GNU Bash, qui est la composante de la faille critique. Le bug permet à un attaquant qui veut se jouer de Bash d'exécuter le code malveillant de commande en l'envoyant par l'Interface Common Gateway, une composante sous-jacente de l'interface d'administration du serveur SIP.
"Même si vous n'avez pas le nom de l'utilisateur et le mot de passe (pour le serveur SIP), vous pouvez exploiter la vulnérabilité", a déclaré Jaime Blasco. Selon l'architecture du système de téléphonie, un attaquant pourrait télécharger des logiciels malveillants sur le serveur SIP et accéder au réseau interne de l'entreprise. Aussi, une fois à l'intérieur du système téléphonique, un pirate peut infecter les composants qui lui permettent d'intercepter des communications.
Des attaques venues de la Chine et des Etats-Unis
Les chercheurs en sécurité ont rapporté jeudi dernier que les pirates ont tenté d'exploiter Shell Shock sur les serveurs Web. Le vendredi suivant, le fournisseur de pare-feu Incapsula rapportait que dans une période de 12 heures, il a enregistré 725 attaques par heure contre un total de 1 800 domaines. «C'est assez élevé pour une seule vulnérabilité," selon Tim Matthews, vice-président marketing chez Incapsula. Les attaques provenaient de 400 adresses IP uniques. Plus de la moitié d'entre elles étaient menées a commencé à partir de la Chine et les Etats-Unis.
