La faille ShellShock n’est pas morte ! En effet, la vulnérabilité connue dans Bash sur les systèmes Linux est utilisée pour s’attaquer à des NAS.

Un nouveau malware exploite la faille ShellShock pour créer une backdoor sur les NAS de la marque taïwanaise QNAP. Cette backdoor donne un accès complet au contenu du périphérique infecté.

QNAP embarque un système d’exploitation basé sur Linux, ce qui rend l’exploitation de la faille ShellShock possible ! Plus précisément, l’attaque cible un script CGI : /cgi-bin/authLogin.cgi, ce dernier étant un vecteur d’attaque ShellShock sur les NAS QNAP.

Pourtant ce n’est pas faute de réactivité de la part de QNAP puisqu’un patch fût délivré en octobre pour les produits NAS Turbo. Cependant, la mise à jour n’est pas automatique et de nombreux systèmes sont encore vulnérables.

Si votre système est infecté, un accès SSH sur le port 26 sera ouvert et un nouvel utilisateur de type administrateur sera créé. Johannes B. Ullrich, du Sans Institute, précise que “le serveur SSH est un second serveur SSH qui sera exécuté, en plus du serveur SSH par défaut sur le port 22. Ce second accès SSH, et l’utilisateur ajouté au système permettent à l’attaquant d’avoir un accès persistent au système.”

Ce qui est plus étonnant, c’est que le malware appliquera lui-même le correctif contre la faille ShellShock sur le NAS QNAP. Cela lui permettra d’éviter qu’une autre personne compromette le périphérique en exploitant la faille ShellShock, le pirate s’étant déjà ouvert une porte avec l’accès SSH et le compte administrateur… Cela ne le gêne pas.

Si vous possédez un NAS de la marque QNAP, mettez-le à jour dès maintenant si ce n’est déjà fait. Vérifiez également si un utilisateur suspect existe, et si c’est le cas, si votre NAS écoute sur le port 26 pour le SSH.

Source