Attaques Shellshock : premiers bilans

Au cours des sept derniers jours du mois de septembre, les solutions de protection d’Incapsula ont bloqué près de 311 000 tentatives d’exploitation d’une vulnérabilité dans l’interpréteur de ligne de commande Bash, soit une fréquence de 1 860 attaques par heure. Le trafic Shellshock le plus actif a été observé aux Etats-Unis et en Europe de l’Ouest.

Les chercheurs ont enregistré quelques pics au cours du week-end du 27 et 28 septembre. Ce saut dans l’activité était probablement lié à la recherche active de la faille après sa divulgation : les propriétaires de ressources potentiellement vulnérables se sont dépêchés de vérifier l’état des choses tandis que les individus malintentionnés se sont pressés pour profiter de cette nouvelle faille. Le premier jour de la semaine ouvrable a été caractérisé par une augmentation constante des tentatives d’exploitation. Ceci a été suivi par une chute surprise que les experts considèrent seulement comme le calme avant la tempête.


Résultats de la surveillance du trafic Shellshock à la fin du mois de septembre (source : Incapsula).

Comme l’a démontré l’analyse, près de 6 % du trafic observé provenait vraiment d’organisations légitimes. Le reste était associé à un type d’attaque ou autre.š D’après Incapsula, près de 20 % du trafic Shellshock était associé à des tentatives de détournement de serveur Web tandis que 70 % de ce trafic était lié à des balayages malveillants et à des tentatives d’introductions de malwares dotés d’une fonction DDoS.

Les statistiques fournies par Incapsula proviennent d’une sélection de 100 000 sites de clients de différentes catégories, depuis les blogs privés jusqu’aux sites de sociétés de la liste Fortune 50. Les chercheurs ont essayé d’extrapoler les résultats sur la base de la période marquée par l’activité Shellshock élevée. D’après Netcraft, Internet compte actuellement plus d’un milliard de sites ; si l’on tient compte de l’ampleur de l’échantillon d’Incapsula, la densité des cibles potentielles était de 1 sur 10 000. Par conséquent, sur la base d’une fréquence d’attaque Shellshock de 1 860/h, plus d’1,3 millions de sites auraient peut être touchés en trois jours.

Dell Secure Works a également analysé le trafic Shellshock. Au cours des quatre premiers jours qui ont suivi la divulgation de la vulnérabilité, les compteurs de la société ont enregistré plus de 140 000 tentatives de balayage et d’exploitation dans le but d’installer un malware. D’après les experts, les auteurs de près d’un quart des balayages étaient les chercheurs d’Errata Security ou les opérateurs du moteur de recherche spécialisé Shodan ; 23% du trafic de balayage provenait des Pays-Bas, 18 % des Etats-Unis, un pourcentage égal de la Chine et 16 % depuis Singapour.

Akamai Technologies a réussi non seulement à déterminer l’emplacement géographique des sources du trafic Shellshock, mais également à le comptabiliser, à le répartir entre trafic "bon" et "mauvais" et à établir le profil de nombreuses cibles. En cinq jours, y compris le jour de la divulgation de la vulnérabilité, les chercheurs ont enregistré près de 22 500 sources uniques (adresses IP) ; 156 d’entre elles étaient des proxys HTTP. Deux tiers des adresses IP enregistrées se trouvaient aux Etats-Unis :


Répartition géographique de trafic Shellshock sortant (source : Akamai).

D’après les informations fournies par Akamai, les individus malintentionnés ont visé les secteurs les plus divers, mais le plus souvent il s’agissait de sociétés actives dans le secteur des jeux informatiques (près de 300 000 domaines ciblés). A partir du 24 septembre, les experts ont remarqué une hausse sensible du nombre de domaines attaqués ainsi qu’une plus grande diversification des cibles des attaquants. La cause de près de la moitié du trafic Shellshock était le balayage offensif ; près de 30 % étaient des balayages légitimes, des tentatives de suppression de la faille via une mise à jour de Bash et des avertissements amicaux relatifs aux ressources vulnérables. 10 % des attaques Shellshock visaient à introduire des bots IRC qui, via les connexions retour pouvaient prendre les commandes d’un serveur , – 1% ; dans certains cas, les individus malintentionnés ont essayé de voler des informations importantes (mots de passe) ou des bitcoins.

http://www.incapsula.com/blog/shellshock-one-billion-servers.html
http://www.akamai.com/html/security/through-the-bashdoor.html

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *