[OSM-talk-fr] OT: shell shock pire que HeartBleed; attaques bien réelles en cours
Yves
yvecai at gmail.com
Mar 30 Sep 18:06:22 UTC 2014
Merci Philippe.
On 30 septembre 2014 19:56:44 UTC+02:00, Philippe Verdy <verdy_p at wanadoo.fr> wrote:
>Note: les serveurs web qu utilisent une interface CGI vers un shell
>type
>"Busybox" (par exemple les routeurs) ne sont apparemment pas concernés
>par
>cette attaque sur le bogue de "bash" mais l'interface CGI d'Apache
>utilisant un shell OpenSSH est touché également.
>
>Les attaques consistent notemment à obtenir de se faie envoyer par mail
>ou
>SMS les identifiants réels d'accès aux comptes en ligne ou des numéros
>de
>confirmation de demande de changement de mot de passe, pour ensuite
>faire
>des transactions frauduleuses ou modifier les droits d'accès.
>
>Sur mon compte il bancaire en ligne y a eu plusieurs changement d'email
>et
>de numéro mobile. alors que j'utilise des mots de passe forts (au moins
>15
>caractères alphanumériues et ponctuations et casse aléatoire, plus
>quelques
>caractères non ASCII).
>
>Les attaques continuent; ma banque en ligne n'a toujours pas fermé son
>interface web et elle envoie des emails avec mot de passe en clair
>alors
>que ce système ne devrait plus exister depuis des mois et utiliser la
>double authentication par SMS et clavier numérique virtuel contre les
>keyloggers et des bloqueurs de scripts clients. Elle a fermé les accès
>par
>les applications mobile (d'abord iOS puis Android) Mais son service
>client
>par téléphone est surchargée d'appels de ceux qui n'ont plus accès à
>leur
>compte par mobile ou ont des erreurs d'identification parce que leur
>mot de
>passe ne fonctionne plus
>
>Avec beaucoup de mal je l'ai contacté après avoir pu constater
>facilement
>que son écran de login était vulnérable à cette attaque. J'attends une
>réponse.
>
>Le 30 septembre 2014 19:43, Philippe Verdy <verdy_p at wanadoo.fr> a écrit
>:
>
>> Pour info.
>>
>> http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/index.html
>>
>> une faille de bash qui exécute le contenu de variables
>d'environnement;
>> passées dans des champs de formulaire web; notamment un écran de
>login où
>> on saisit un nom d'utilisateur (avant que le script serveur s'exécute
>et
>> valide les données du formulaire) ou bien affecte une session OpenSSH
>pour
>> ouvrir une commande authentifiée et communiquer des données.
>>
>> La principale attaque se situe sur les sites web Apache utilisant une
>> interface CGI pour passer les formualires dans des varaibles
>> d'environne,ents dans un scripts shele exécuté par bash.
>>
>>
>http://www.silicon.fr/5-questions-faille-shell-shock-visant-bash-97012.html
>>
>> LEs détail techiques de l'attque ont été publiés en ligne dès le 26
>> septembre alors que la vulnérabilité a été connue 2 jours avant.
>>
>> Attaques confirmées sur un de mes comptes bancaires en ligne avec des
>> tentatives répétées d'intrusion depuis le 26 septembre (plusieurs
>fois par
>> jour à n'importequelel heure du jour et de la nuit, avec des
>transactions
>> que je n'ai jamais demandées, PC éteint et mobile éteint. Attaque
>> distribuée depuis des lieux divers dans le monde et je ne dois pas
>être le
>> seul).
>>
>> Mettez à jour vos serveurs web Unix/Linux (les patches pour bash sont
>> dispo sous Redhat, Ubuntu, Mandriva, Fedora, Oracle; et divers Unix
>...
>> mais certains patches avant le 27 septembre ont d'autres
>vulnérabilités de
>> pointeurs nuls. Les patches proposés vont encore subir des liftings.
>Et
>> probablement il y aura de nouvelles mesures de sécurité pour
>l'interface
>> CGI d'Apache et intégrer des méthodes de detection et filtrages de
>> certaines séquences de données ou modifier la méthode d'encapsulation
>de
>> données de formulaires en CGI.
>>
>>
>
>
>------------------------------------------------------------------------
>
>_______________________________________________
>Talk-fr mailing list
>Talk-fr at openstreetmap.org
>https://lists.openstreetmap.org/listinfo/talk-fr
--
Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté.
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.openstreetmap.org/pipermail/talk-fr/attachments/20140930/60f6c56b/attachment.htm>
Plus d'informations sur la liste de diffusion Talk-fr