Vulnérabilité Shellshock - CVE-2014-6271 et CVE-2014-7169
Shellshock est une vulnérabilité sérieuse pouvant engendrer des dégâts importants. Nous pouvons la comparer à Heartbleed mais avec un niveau de dangerosité plus important.
Les client F5 peuvent vérifier ici la vulnérabilité de leurs équipements F5.
F5 a confirmé que l’interface graphique des BIGIP était vulnérable pour les utilisateurs authentifiés, à condition que l'interface de management soit exposée sur internet. Les équipes de développement ainsi que nos Solution Architect Security travaillent depuis l’annonce pour développer un correctif sur nos boitiers. Il est donc important que l’interface de management de vos BIGIP ne soit pas routée sur Internet.
A l’heure actuelle, nous ne connaissons aucun exploit exécuté de façon non authentifiée, que cela soit sur l’interface de management ou sur les interfaces gérants le trafic.
Vous comprenez donc que les équipements les plus vulnérables dans votre infrastructures sont vos serveurs WEB, et F5 va vous permettre de les protéger en attendant le correctif de ceux-ci. En attendant la sortie d’un hotfix pour TMOS et si vous devez exposer l’interface de management de vos BIGIP à Internet, assurez-vous d’en sécuriser l’accès (gestion des utilisateurs et mots de passes, restriction des accès par l’IP source, etc). Voir le lien : http://support.f5.com/kb/en-us/solutions/public/13000/000/sol13092.html
Shellshock utilise les headers HTTP ainsi que leurs caractéristiques pour donner un accès non autorisé au shell de l’OS, le Bash. L’attaque Shellshock utilise une faille dans Bash pour permettre aux pirates d’exécuter des commandes à distance qui normalement auraient dû être bloquées. L’exécution de ces commandes est donc très critique.
Comment cela fonctionne :
Cette vulnérabilité affecte le GNU Bash, et si vous utilisez des application CGI sur vos serveurs, cela devient critique. Il peut, une fois piraté, permettre l’exécution de commandes dans votre système. Concrètement, le pirate joue l’attaque suivante - () {- dans un header HTTP (cookie, referer, paramètre …) suivi d’une commande Bash (ping, ls, wget …). Quand ces headers sont transférés dans le script CGI, ils sont stockés en tant que variable d’environnement, et c’est ici que l’attaque commence. Finalement, Bash exécute les commandes grâce à cette attaque.
Je vous laisse imaginer tout ce qu’un pirate pourrait exécuter !!!!!
Comment se protéger :
A l’heure où j’écris ces lignes (quelques heures après l’annonce – et non la découverte , je vous laisse lire l’histoire de cette attaque) plusieurs solutions d’atténuations et de blocages sont envisageables. Je vais donc vous rediriger vers les différents articles ASKF5 et DevCentral traitant de cette attaque. Une fois la solution officiel annoncée, je mettrai à jour cet article.
Avant tout, il est important de noter que les clients qui utilisent ASM étaient en partie protégés avant l’annonce de la vulnérabilité. Toutes les tentatives d’exploiter cette vulnérabilité via les paramètres sont bloquées en utilisant des signatures existantes par défaut dans ASM. De même, les tentatives d’exploitation via les entêtes de Cookies déclencheront une violation de type "Cookie not RFC-compliant". Assurez-vous tout de même que les signatures sont actives et pas en « staging ».
Pour les tentatives d’exploitations via les URL ou les valeurs de paramètres et objets XML, une signature ASM spécifique est disponible : https://devcentral.f5.com/s/articles/bash-shellshock-mitigation-using-asm-signatures. F5 vient de mettre à jour (lundi 29 Septembre 2014) sa base de signature ASM avec l'ajout de cette nouvelle.
Pour les clients qui n’ont pas (encore) implémenté ASM (le Pare-feu Applicatif Web de F5) il est possible de protéger vos services WEB en mettant en place un iRule sur Big-IP : https://devcentral.f5.com/s/articles/shellshock-mitigation-with-big-ip-irules
Cette protection par iRule est rapide à mettre en place et permet de bloquer les attaques Shellshock contenues dans les URI et les entêtes http.
En revanche, pour bloquer les autres méthodes d’attaque, comme les cookies ou les payloads encodées, seule ASM (le Web Application Firewall de F5) apportera une protection complète.
Voici les liens traitant de la vulnérabilité :
- Lien officiel décrivant la vulnérabilité : https://f5.com/solutions/mitigation/mitigating-the-bash-shellshock-cve-2014-6271-and-cve-2014-7169-vulnerabilities
- La SOL sur ASKF5 : http://support.f5.com/kb/en-us/solutions/public/15000/600/sol15629.html
- Article de Lori présentant comment se protéger et comment bien configurer son ASM : https://devcentral.f5.com/s/articles/3-ways-to-use-big-ip-asm-to-mitigate-shellshock
- Signature ASM : https://devcentral.f5.com/s/articles/bash-shellshock-mitigation-using-asm-signatures
- Base de signature ASM mise à jour le 29 Septembre : ASM-SignatureFile_20140928_071720
- iRule beta : https://devcentral.f5.com/s/articles/shellshock-mitigation-with-big-ip-irules