GitHub a déployé des mises à jour de sécurité pour corriger une faille de sécurité critique présente dans sa solution GitHub Enterprise Server et pouvant être utilisée par un attaquant pour contourner l'authentification. Faisons le point.
Associée à la référence CVE-2024-4985 et à un score CVSS maximal de 10 sur 10, cette faille de sécurité peut être exploitée par un attaquant pour accéder à l'instance GitHub Enterprise Server, sans être authentifié au préalable. Contrairement à la plateforme GitHub, la solution GitHub Enterprise Server est destinée à être auto-hébergée par les organisations soucieuses de vouloir gérer leur code avec Git sur leur propre serveur.
Au sein de la note de publication de la nouvelle version de GitHub Enterprise Server, voici ce que l'on peut lire : "Sur les instances qui utilisent l'authentification unique SAML (SSO) avec la fonction optionnelle d'assertions chiffrées, un attaquant pourrait falsifier une réponse SAML pour provisionner et/ou obtenir l'accès à un utilisateur avec des privilèges d'administrateur.".
L'exploitation de cette vulnérabilité pourrait permettre à un attaquant d'accéder aux différents projets et codes sources présents sur le serveur compromis.
Il est important de préciser que GitHub indique que la fonctionnalité des assertions chiffrées n'est pas activée par défaut. De plus, cette vulnérabilité n'affecte pas les instances GHES où l'authentification unique SAML (SSO) n'est pas utilisée, ainsi que celles qui utilisent l'authentification SAML SSO mais sans assertions chiffrées.
Cette fonctionnalité est décrite sur cette page : "Vous pouvez améliorer la sécurité de votre instance GitHub Enterprise Server avec l’authentification unique SAML en chiffrant les messages envoyés par votre fournisseur d’identité (IdP) SAML."
Comment se protéger ?
Cette faille de sécurité affecte toutes les versions de GitHub Enterprise Server antérieures à la version 3.13.0. Le 20 mai 2024, GitHub a publié de nouvelles versions pour corriger cette vulnérabilité : 3.12.4, 3.11.10, 3.10.12, et 3.9.15.
Si vous utilisez une version vulnérable de GitHub Enterprise Server, il est recommandé d'effectuer la mise à jour de l'application dès que possible pour vous protéger de cette menace potentielle. Ceci est d'autant plus un important qu'un exploit PoC semble disponible sur GitHub, sur cette page.
Un nouveau bulletin de sécurité publié par Veeam averti les utilisateurs de la présence d'une vulnérabilité critique dans Veeam Backup Enterprise Manager (VBEM). Faisons le point sur cette menace potentielle.
Commençons par quelques mots sur Veeam Backup Enterprise Manager. Il s'agit d'une console Web de gestion et reporting pour la célèbre solution Veeam Backup & Replication de l'éditeur. L'avantage, c'est qu'elle permet de gérer plusieurs instances Veeam à partir d'une console unique. Non activé par défaut, cette solution n'est pas utilisée par toutes les organisations où Veeam est déployé, ce qu'il est important de préciser vis-à-vis de la vulnérabilité présentée dans cet article.
La faille de sécurité CVE-2024-29849
Associée à un score CVSS de 9.8 sur 10, la CVE-2024-29849 est une faille de sécurité critique permettant d'outrepasser l'authentification à VBEM. Ainsi, un attaquant peut se connecter à l'application sans même avoir connaissance des identifiants.
"Cette vulnérabilité dans Veeam Backup Enterprise Manager permet à un attaquant non authentifié de se connecter à l'interface web de Veeam Backup Enterprise Manager en tant que n'importe quel utilisateur.", précise Veeam.
Pour vous protéger de cette vulnérabilité, vous devez passer sur la nouvelle version de VBEM publiée par Veem, à savoir la version 12.1.2.172 publiée le 21 mai 2024 (voir cette page). Si vous ne pouvez pas patcher, sachez qu'en attendant, vous pouvez arrêter et désactiver les services suivants : VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) et VeeamRESTSvc (Veeam RESTful API).
Enfin, si VBEM est installé et que vous ne l'utilisez pas, il est préférable de le désinstaller complètement afin d'éliminer ce vecteur d'attaque potentiel. Dans ce cas, vous pouvez consulter cette page de la documentation.
D'autres vulnérabilités corrigées
La CVE-2024-29849 n'est pas la seule faille de sécurité corrigée par Veeam à l'occasion de la sortie de la version 12.1.2.172 de VBEM. Bien que ce soit la seule vulnérabilité critique, il y en a 3 autres qui ont été corrigées :
CVE-2024-29850 : cette vulnérabilité permet la prise de contrôle d'un compte via relais NTLM. Une faille de sécurité non négligeable également, et associée à un score CVSS de 8.8 sur 10.
CVE-2024-29851 : cette vulnérabilité permet à un attaquant avec des privilèges élevés de voler le hash NTLM du compte de service utilisé par VBEM, si ce n'est pas le compte Système.
CVE-2024-29852 : cette vulnérabilité permet à un attaquant avec des privilèges élevés de lire les journaux des sauvegardes.
Par ailleurs, Veeam a corrigé une faille de sécurité dans son application Veeam Agent for Windows.
Des chercheurs en sécurité ont effectué un gros travail de recherche de vulnérabilités sur le système QTS utilisé par les NAS QNAP. Ils sont parvenus à identifier 15 failles de sécurité, plus ou moins sérieuse ! Faisons le point !
Les chercheurs en sécurité de WatchTowr Labs ont mis en ligne un rapport au sujet de 15 vulnérabilités qu'ils ont découvertes dans le système QTS de QNAP. Enfin, il ne s'agit pas du seul système analysé puisqu'ils ont également analysé les versions QTS Hero et QuTS Cloud.
Pour le moment, 11 vulnérabilités ne sont toujours pas corrigées, et certaines sont encore sous embargo, alors que QNAP a été averti entre le 8 décembre 2023 et le 8 janvier 2024. Voici la liste des CVE patchées par QNAP : CVE-2023-50361, CVE-2023-50362, CVE-2023-50363 et CVE-2023-50364.
La faille de sécurité CVE-2024-27130
L'une de ces failles de sécurité, associée à la référence CVE-2024-27130, mérite une attention particulière. Cette vulnérabilité de type "stack buffer overflow" présente dans la fonction "No_Support_ACL" du fichier "share.cgi" permet à un attaquant d'exécuter du code à distance sur le NAS QNAP. Néanmoins, l'exploitation n'est pas simple, car l'attaquant doit pouvoir se connecter au NAS QNAP, avec un compte lambda, de façon à manipuler la fonction de partage de fichiers.
À ce jour, cette faille de sécurité est connue publiquement et elle n'a pas été corrigée par QNAP alors qu'elle a été reportée au fabricant de NAS le 3 janvier 2024 : une belle faille de sécurité zero-day.
À chaque fois, QNAP a demandé un délai supplémentaire à WatchTowr Labs. Mais, désormais, le temps presse... Les chercheurs en sécurité de WatchTowr Labs quant à eux, ont mis en ligne un exploit PoC pour cette même vulnérabilité : il est disponible sur ce GitHub. Tous les détails techniques sont fournis pour indiquer comment l'exploiter, bien qu'elle ne soit pas corrigée.
En exploitant cette faille, les chercheurs de WatchTowr Labs sont parvenus à créer un compte nommé "watchtowr" sur le NAS et à l'ajouter au fichier "sudoers" pour lui permettre d'élever ses privilèges sur le NAS.
Désormais, le correctif de QNAP est attendu, que ce soit pour cette vulnérabilité ou toutes les autres non corrigées pour le moment.
Des chercheurs en sécurité ont identifié une nouvelle campagne d'attaques prenant pour cible les utilisateurs de l'application Foxit Reader, une visionneuse de PDF. Faisons le point sur cette menace.
Bien que Foxit Reader soit moins populaire que le lecteur de PDF de chez Adobe, il n'en reste pas moins une application très utilisée au niveau mondial. Elle est aussi bien utilisée par les particuliers que par certaines organisations. Le problème, c'est qu'elle contient ce que l'on pourrait appeler une "vulnérabilité by design" au sein de sa fonction d'affichage des alertes de sécurité.
En effet, lorsqu'une potentielle menace est détectée par Foxit Reader dans un PDF, il affiche un message d'avertissement à l'écran. Le problème, c'est que ce message peut être trompeur par l'utilisateur : s'il valide deux fois en utilisant l'option par défaut, alors l'exploit est déclenché et le code malveillant peut être exécuté. Ceci devrait être révisé de façon à ce que l'action par défaut permette de refuser l'exécution.
Source : checkpoint.com
En tirant profit de cet exploit, un attaquant peut télécharger et exécuter un code malveillant à partir d'un serveur distant sur la machine de l'utilisateur, ce qui représente un risque important. Étant donné que cette attaque tire profit d'un exploit natif à l'application, ceci permet de rester plus facilement indétectables par les systèmes de sécurité.
Foxit Reader : des cyberattaques sont en cours
D'après le rapport publié par les chercheurs de Check Point, un groupe de cybercriminels suivi sous le nom d'APT-C-35 (DoNot Team) exploite activement cette vulnérabilité au sein de cyberattaques. "Cet exploit a été utilisé par de nombreux acteurs malveillants, dans le cadre de la cybercriminalité et de l'espionnage.", peut-on lire.
Elle est notamment utilisée pour déployer des malwares divers et variés, parmi lesquels VenomRAT, Agent-Tesla, Remcos, NjRAT, NanoCore RAT, Pony, Xworm, AsyncRAT, et DCRat.
La majorité des fichiers PDF collectés exécutaient une commande PowerShell qui téléchargeait une charge utile à partir d'un serveur distant et l'exécutait ensuite, bien qu'à certaines occasions d'autres commandes aient été utilisées.", précise le rapport.
Comment se protéger ?
La mise à jour "2024.3" va résoudre ce problème de sécurité dans Foxit Reader. Pour le moment, elle n'est pas encore disponible, donc vous devez faire attention à ne pas vous faire berner lors de l'utilisation de cette application pour ouvrir des fichiers PDF.
Google a mis en ligne une nouvelle mise à jour de sécurité pour son navigateur Chrome dans le but de protéger les utilisateurs de la vulnérabilité CVE-2024-4671. Il s'agit de la 5ème faille de sécurité zero-day exploitée dans le cadre d'attaques patchée depuis le début de l'année 2024 dans Google Chrome.
Associée à la référence CVE-2024-4671, cette vulnérabilité de type "use after free" est présente dans le composant Visuals de Google Chrome. Ce composant est utilisé pour le rendu et l'affichage du contenu au sein des onglets et fenêtres de Google Chrome.
Reporté à Google le 07 mai 2024 par un utilisateur anonyme, Google a corrigé cette faille de sécurité déjà exploitée et pour laquelle il existerait déjà un exploit : "Google sait qu'il existe un programme d'exploitation pour CVE-2024-4671 dans la nature.", peut-on lire dans le bulletin de sécurité de l'entreprise américaine. Comme à son habitude, et dans le but de protéger ses utilisateurs, Google n'a pas fourni d'autres précisions ni détails techniques.
Cette vulnérabilité de type "use after free" est liée à l'utilisation de la mémoire par le programme. Même s'il ne s'agit que d'hypothèses, cette vulnérabilité pourrait permettre une exécution de code à distance, une fuite d'informations ou un déni de service.
Comment se protéger de la CVE-2024-4671 ?
Les utilisateurs de Google Chrome sur Windows, macOS et Linux sont affectés par cette faille de sécurité. Google a mis en ligne les versions 124.0.6367.201/.202 pour Mac et Windows, ainsi que la version 124.0.6367.201 pour Linux. Ces versions sont disponibles depuis le 9 mai 2024.
Désormais, il ne vous reste plus qu'à effectuer la mise à jour du navigateur Chrome sur votre machine. Rendez-vous dans le menu avec les trois points verticaux, puis sous "Aide", cliquez sur "A propos de Google Chrome".
En 2024, c'est la 5ème faille de sécurité zero-day corrigée par Google dans son navigateur. La précédente a été découverte et exploitée à l'occasion de la compétition de hacking Pwn2Own 2024, comme nous l'évoquions dans cet article publié sur notre site.
TunnelVision, c'est le nom de la nouvelle vulnérabilité et technique d'attaque mise au point par des chercheurs en sécurité et qui permet de détourner le trafic des tunnels VPN ! Voici ce qu'il faut savoir !
Lorsqu'un appareil se connecte à un réseau distant via un tunnel VPN, le trafic réseau de la machine passe par ce tunnel chiffré et sécurité. En fonction de la configuration du VPN, tout le trafic pourra passer par le tunnel VPN (full VPN) ou uniquement certains flux (split VPN).
Par ailleurs, le VPN peut être utilisé pour naviguer sur Internet tout en masquant son adresse IP publique : c'est l'une des "fonctions" des VPN grands publics. C'est ce cas d'usage qui est directement affecté par la technique évoquée dans cet article.
Les chercheurs en sécurité de chez Leviathan Security ont mis en ligne un nouveau rapport au sujet d'une technique d'attaque baptisée TunnelVision. D'après eux, cette technique est exploitable depuis 2002 et elle fonctionnerait avec l'ensemble des solutions VPN.
TunnelVision et l'option DHCP 121
Pour exploiter cette vulnérabilité associée à la référence CVE-2024-3661, un attaquant doit mettre en place une configuration bien particulière sur un serveur DHCP. En effet, il doit configurer l'option DHCP n°121 nommée "Classless static route" et dont l'objectif est de distribuer une ou plusieurs routes statiques supplémentaires au client DHCP, en plus de l'adresse IP, de la passerelle, etc.
Ainsi, l'attaquant peut créer ces routes avec une priorité plus élevée que celles définies par la connexion VPN, et ainsi, détourner le trafic VPN vers la passerelle de son choix. À ce sujet, les chercheurs précisent : "TunnelVision est une technique de fuite de VPN sur le réseau local qui permet à un attaquant de lire, d'interrompre et parfois de modifier le trafic VPN à partir d'une cible sur le réseau local." - L'attaquant doit se situer sur le même réseau local que sa victime, et il doit pouvoir modifier la configuration du serveur DHCP (ou utiliser un serveur Rogue DHCP).
Le fait de détourner le trafic ne semble pas empêcher le tunnel VPN d'être actif et cela n'a pas non plus alerté la fonctionnalité de protection "kill switch" intégrée à certains VPN : "Lors de nos tests, le VPN a toujours continué à signaler qu'il était connecté, et le kill switch n'a jamais été enclenché pour interrompre notre connexion VPN.", peut-on lire.
Quels sont les systèmes impactés ? Comment se protéger ?
Windows, Linux, iOS et MacOS sont des systèmes vulnérables à cette attaque. Android, quant à lui, n'est pas concerné. Pourquoi ? Et bien parce que l'option 121 du DHCP n'est pas prise en charge !
"Nous avons observé une mesure d'atténuation de la part de certains fournisseurs de VPN qui éliminent le trafic vers les interfaces non VPN par le biais de règles de pare-feu.", peut-on lire dans le rapport. La création de règles de pare-feu sur l'appareil local est donc une façon de se protéger de cette attaque. De plus, il peut s'avérer utile d'activer certaines protections comme le DHCP Snooping.
Enfin, sachez que TunnelVision ne dépend pas du protocole VPN utilisé, donc il n'y a pas un protocole à prioriser plus qu'un autre (OpenVPN, IPsec, WireGuard, etc.). Pour approfondir le sujet, vous pouvez consulter cette page sur GitHub.
Environ 1 000 serveurs exposés sur Internet sont vulnérables à une faille de sécurité critique présente dans l'application CrushFTP ! Elle a déjà été exploitée par les cybercriminels en tant que zero-day ! Voici ce qu'il faut savoir.
La faille de sécurité CVE-2024-4040 dans CrushFTP
Il y a quelques jours, une faille de sécurité critique a été découverte dans l'application CrushFTP, qui, comme son nom l'indique, permet de mettre en place un serveur FTP.
Associée à la référence CVE-2024-4040, elle permet à un attaquant distant et non authentifié de lire des fichiers présents sur le serveur, d'outrepasser l'authentification pour obtenir les droits admins et d'exécuter du code arbitraire sur le serveur. Autrement dit, si un serveur est vulnérable, il peut être totalement compromis par cette faille de sécurité et un attaquant peut en prendre le contrôle.
Un rapport publié par Rapid7 met en avant le fait que cette vulnérabilité est facilement exploitable : "L'équipe de recherche sur les vulnérabilités de Rapid7 a analysée la CVE-2024-4040 et a déterminé qu'elle ne nécessite aucune authentification et exploitable de manière triviale."
Par ailleurs, d'après CrowdStrike, cette vulnérabilité a déjà été exploitée en tant que faille de sécurité zero-day dans le cadre d'attaques, notamment pour compromettre les serveurs CrushFTP de plusieurs organisations aux États-Unis.
Quelles sont les versions vulnérables ? Comment se protéger ?
La vulnérabilité CVE-2024-4040 affecte toutes les versions de CrushFTP antérieures à 10.7.1 et 11.1.0, sur toutes les plateformes sur lesquelles l'application est prise en charge. Autrement dit, pour vous protéger, vous devez passer sur l'une des deux nouvelles versions publiées par CrushFTP : 10.7.1 ou 11.1.0.
"Les versions de CrushFTP v11 inférieures à 11.1 présentent une vulnérabilité qui permet aux utilisateurs d'échapper à leur VFS et de télécharger des fichiers système. Cette vulnérabilité a été corrigée dans la version 11.1.0.", peut-on lire sur le site officiel.
Environ 1 000 serveurs vulnérables
D'après le moteur Shodan.io, il y a 5 215 serveurs CrushFTP accessibles sur Internet, aux quatre coins du globe. Néanmoins, ceci ne donne pas le nombre de serveurs vulnérables.
Pour obtenir des informations plus précises, il faut se référer la carte publiée par The Shadowserver accessible à cette adresse. La carte a été actualisée le 27 avril 2024 et elle permet de connaître le nombre de serveurs CrushFTP vulnérables par pays.
Voici quelques chiffres clés :
États-Unis : 569
Allemagne : 110
Canada : 85
Royaume-Uni : 56
France : 24
Australie : 20
Belgique : 19
Suisse : 13
Tous les administrateurs de serveurs CrushFTP sont invités à faire le nécessaire dès que possible ! Cette vulnérabilité représente un risque élevé.
Depuis quelques jours, la faille de sécurité critique découverte dans le système PAN-OS utilisé par les firewalls de Palo Alto Networks fait beaucoup parler d'elle. Désormais, un code d'exploitation est disponible et pourrait être utilisé pour compromettre les firewalls exposés sur Internet. Faisons le point.
Rappel sur la vulnérabilité CVE-2024-3400
Voici un résumé de la situation actuelle, avec quelques dates et points clés :
Depuis le 26 mars 2024, une nouvelle faille de sécurité zero-day est exploitée par les cybercriminels dans le cadre d'attaque. Elle a été utilisée pour déployer une porte dérobée nommée Upstyle et pivoter vers l'infrastructure interne de l'entreprise. Lors d'une attaque, les pirates sont parvenus à voler des données sensibles telles que la base de données Active Directory.
Vendredi 12 avril 2024, Palo Alto Networks a publié un bulletin de sécurité pour évoquer cette vulnérabilité (CVE-2024-3400) et les risques associés.
Dimanche 14 avril 2024, l'éditeur a publié de premiers correctifs de sécurité à destination de ses firewalls sous PAN-OS : PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 et PAN-OS 11.1.2-h3. Depuis, de nouveaux correctifs ont été publiés, car Palo Alto Networks va publier des patchs pour une dizaine de versions différentes de PAN-OS.
Voici nos précédents articles pour approfondir le sujet :
Un code d'exploit et des dizaines de milliers de firewalls vulnérables
Le mardi 16 avril 2024, watchTowr Labs a publié un rapport au sujet de cette vulnérabilité, ainsi qu'un PoC d'exploitation permettant d'exécuter des commandes à distance sur un firewall vulnérable. Dans le même temps, Justin Elze, directeur technique de TrustedSec, a également évoqué sur X (Twitter) un exploit utilisé par les cybercriminels pour exporter la configuration du pare-feu Palo Alto pris pour cible.
D'après une carte partagée par The Shadowserver Foundation, il y a environ 156 000 firewalls Palo Alto exposé sur Internet et potentiellement vulnérables. Ce chiffre est à prendre avec des pincettes, car il ne tient pas compte de la version de PAN-OS, ni de la configuration.
Vendredi dernier, le chercheur en sécurité Yutaka Sejiyama, a partagé sur X (Twitter) des statistiques au sujet des firewalls vulnérables à cette faille de sécurité. Il en a identifié un peu plus de 82 000 firewalls. Ce chiffre a certainement diminué désormais, mais le nombre de cibles potentielles doit rester élevé.
Voici quelques chiffres clés (nombre de firewalls vulnérables par pays) :
États-Unis : 32 916
Allemagne : 3 268
Royaume-Uni : 3 213
Canada : 2 239
France : 1 794 (sur un total de 3 162, si l'on s'appuie sur la carte de The Shadowserver Foundation)
Belgique : 772
Suisse : 561
Le correctif de sécurité comme seule et unique solution pour se protéger
La seule solution pour vous protéger, c'est d'installer le correctif de sécurité sur votre firewall. La mesure d'atténuation partagée initialement par Palo Alto consistait à désactiver la télémétrie, mais elle n'est pas efficace et ne permet pas de se protéger.
Voici ce que l'on peut lire dans le bulletin de sécurité de Palo Alto : "La désactivation de la télémétrie sur l'équipement n'est plus une mesure d'atténuation efficace. Il n'est pas nécessaire que la télémétrie soit activée pour que les pare-feux PAN-OS soient exposés aux attaques liées à cette vulnérabilité."
Malgré tout, si vous avez un abonnement à la fonction "Threat Prevention", vous pouvez bloquer cette attaque en activant la protection contre la menace avec l'ID 95187. De plus, assurez-vous que cette protection soit activée sur l'interface GlobalProtect, en suivant cette page de la documentation. Cette méthode est toujours efficace.
Vous connaissez probablement l'application PuTTY. Sachez que de nombreuses versions sont affectées par une nouvelle vulnérabilité pouvant permettre de deviner votre clé privée. D'autres applications sont impactées. Faisons le point sur cette menace !
Pour rappel, PuTTY est une application open source permettant de se connecter à des équipements réseaux ou des serveurs distants, généralement sous Linux, par l'intermédiaire de plusieurs protocoles, dont le SSH et le Telnet. Même s'il existe de nombreuses alternatives et des gestionnaires de connexions plus complets, PuTTY reste un "client SSH" populaire et très utilisé par les administrateurs systèmes sous Windows.
Cette vulnérabilité, associée à la référence CVE-2024-31497, a été découverte par Fabian Bäumer et Marcus Brinkmann de l'Université de la Ruhr à Bochum, en Allemagne.
Elle est liée à la manière dont l'application PuTTY génère les nonces ECDSA pour la courbe NIST P-521 utilisée dans le cadre de l'authentification SSH. Un nonce ECDSA est un nombre aléatoire utilisé dans le processus de création de la signature ECDSA. Un nonce est unique pour chaque signature. Dans le cas présent, nous pouvons dire que la fonction de génération de signatures est biaisée à cause de ce problème de sécurité lié à la génération des nonces.
Cette signature numérique est créée à partir de la clé privée de l'utilisateur, et cette clé, comme son nom l'indique, doit rester uniquement en possession de son propriétaire. La signature doit être vérifiée à partir de la clé publique (on parle d'une paire de clés) afin de garantir l'identité de l'utilisateur et sécuriser la connexion.
Calculer la clé privée grâce à la CVE-2024-31497
En exploitant cette vulnérabilité, un attaquant peut parvenir à calculer la clé privée utilisée par l'utilisateur, sans en avoir connaissance à la base.
Pour cela, comme l'explique Marcus Brinkmann sur X (Twitter) : "L'attaque de l'ECDSA avec des nonces biaisés est une technique standard. Un attaquant collecte au moins 521/9≈58 signatures à partir de commits Git signés ou de connexions de victimes au serveur SSH de l'attaquant. Un peu de mathématiques permet à l'attaquant de calculer la clé privée hors ligne."
Ceci implique la collecte de 58 signatures effectuées à partir de la même clé privée pour que celle-ci puisse être découverte. La collecte de ces informations à partir de commits Git signés est certainement plus réaliste et plus "pratique" pour les attaquants.
Cette vulnérabilité, associée à la référence CVE-2024-31497, affecte toutes les versions de PuTTY de la 0.68 à la 0.80, publiée en décembre 2023. La dernière version, à savoir PuTTY 0.81, a été développée et publiée ce lundi 15 avril 2024 dans l'unique but de corriger cette faille de sécurité.
Cependant, il est essentiel de préciser que toutes les clés privées P-521 générée à l'aide d'une version vulnérable de l'outil pourraient être compromises et elles représentent un risque. Dans ce cas, ces clés doivent être renouvelées pour éliminer tous les risques de compromission, et elles sont également à retirer de la liste "authorized_keys" de vos serveurs et équipements.
D'autres logiciels s'appuie directement sur PuTTY et sont également affectés.
Voici une liste, probablement pas exhaustive, de logiciels et des versions impactées :
FileZilla 3.24.1 - 3.66.5 (corrigé dans 3.67.0)
WinSCP 5.9.5 - 6.3.2 (corrigé dans 6.3.3)
TortoiseGit 2.4.0.2 - 2.15.0 (corrigé en 2.15.0.1)
TortoiseSVN 1.10.0 - 1.14.6 (atténuation possible en configurant TortoiseSVN pour utiliser Plink)
D'autres logiciels sont potentiellement affectés, ce qui pourrait être le cas si un outil s'appuie sur PuTTY (à voir, selon la version).
Votre PC est sous Windows et vous utilisez l'application Telegram pour ce système d'exploitation ? Alors, sachez que Telegram a effectué une modification pour vous protéger d'une nouvelle faille de sécurité zero-day.
Telegram a corrigé une faille de sécurité zero-day pour protéger les utilisateurs de son application bureau pour Windows. En l'exploitant, un attaquant peut contourner les mécanismes de protection et exécuter des scripts Python sur la machine cible. In fine, ceci permettrait d'exécuter du code à distance sur la machine de l'utilisateur qui utilise une version vulnérable de l'application Telegram, même si cela implique une interaction de la part de l'utilisateur.
Une démonstration de l'exploitation de cette vulnérabilité a été publiée sur le réseau social X. Telegram a d'abord indiqué qu'il s'agissait d'un canular. Mais, le lendemain, un exploit PoC a été publié sur le forum de piratage XSS pour montrer qu'il était possible d'exécuter des scripts Python ayant l'extension ".pyzw" sur Windows,par l'intermédiaire de l'application Telegram. Ainsi, un attaquant pourrait utiliser l'icône d'une vidéo pour inciter l'utilisateur à cliquer sur un lien dans le but d'exécuter le script malveillant.
En principe, l'application Telegram devrait déclencher un avertissement pour "bloquer" l'exécution de ce type de fichiers, mais là ce n'est pas le cas. Précisons également que Python doit être installé sur l'ordinateur de l'utilisateur pour que le script soit exécuté, ce qui fait une condition supplémentaire.
Finalement, Telegram a reconnu l'existence de cette vulnérabilité et a pris la décision de la corriger. Toutefois, le correctif a été implémenté du côté des serveurs Telegram, donc les utilisateurs n'ont rien à faire : il n'y a aucune mise à jour installer. "Un correctif côté serveur a été appliqué pour s'assurer que ce problème ne se reproduise plus, de sorte que toutes les versions de Telegram Desktop (y compris les plus anciennes) n'ont plus ce problème.", a précisé Telegram.
En fait, Telegram s'appuie sur une liste d'extensions correspondante à tous les fichiers "à risques" et potentiellement malveillants. Celle-ci permet d'indiquer à l'application Telegram quand elle doit afficher l'avertissement de sécurité.
Dimanche 14 avril 2024, Palo Alto Networks a tenu sa promesse en mettant en ligne des premiers correctifs pour corriger la nouvelle faille de sécurité critique (CVE-2024-3400) découverte dans le système PAN-OS de ses firewalls. D'autres correctifs sont attendus dans les prochains jours. Faisons le point.
Rappel sur la CVE-2024-3400
Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique (CVE-2024-3400) associée à un score CVSS de 10 sur 10 ! C'est une vulnérabilité de type "injection de commande" et elle a été découverte dans la fonction GlobalProtect du système PAN-OS.
Désormais, des correctifs sont disponibles pour certaines versions de PAN-OS. Sinon, sans ce correctif, pour vous protéger, vous devez désactiver la télémétrie sur votre firewall, ou activer la protection contre la menace avec l'ID 95187 dans la fonction "Threat Prevention".
Il est important de rappeler également qu'il y a des tentatives d'exploitation de cette faille de sécurité depuis le 26 mars 2024. Les pirates l'utilisent pour déployer une porte dérobée sur le firewall Palo Alto, et ensuite, essaient de pivoter vers le réseau interne de l'entreprise.
Pour en savoir plus, et connaitre les versions de PAN-OS impactées, lisez nos articles sur cette alerte de sécurité :
Les firewalls Palo Alto qui exécute les versions suivantes de PAN-OS sont potentiellement vulnérables : PAN-OS 10.2, 11.0 et 11.1. Désormais, l'éditeur a mis en ligne des correctifs de sécurité et il a mis à jour son bulletin de sécurité.
Pour le moment, trois correctifs de sécurité sont disponibles :
PAN-OS 10.2.9-h1
PAN-OS 11.0.4-h1
PAN-OS 11.1.2-h3
Dans les prochains jours, d'autres correctifs sont attendus. Voici un tableau récapitulatif :
Version
Date de publication du correctif
10.2.8-h3
15/04/2024
10.2.7-h8
15/04/2024
10.2.6-h3
15/04/2024
10.2.5-h6
16/04/2024
10.2.4-h16
19/04/2024
10.2.3-h13
17/04/2024
10.2.1-h2
17/04/2024
10.2.2-h5
18/04/2024
10.2.0-h3
18/04/2024
11.0.3-h10
15/04/2024
11.0.2-h4
16/04/2024
11.0.1-h4
17/04/2024
11.0.0-h3
18/04/2024
11.1.1-h1
16/04/2024
11.1.0-h3
17/04/2024
Par ailleurs, rappelons deux choses :
L'exploitation de la vulnérabilité dépend de la configuration du firewall : "Ce problème s'applique uniquement aux pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec les configurations de la passerelle GlobalProtect et la télémétrie de l'appareil activées.", précise Palo Alto.
Cette vulnérabilité affecte uniquement le système PAN-OS, donc certaines versions spécifiques comme Cloud NGFW et Prisma Access ne sont pas impactées.
Si vous avez besoin d'aide pour installer la mise à jour, référez-vous à la documentation officielle de Palo Alto, notamment cette page.
Les dernières nouvelles au sujet de la CVE-2024-3400 ne sont pas bonnes : depuis le 26 mars 2024, un groupe de pirates exploite cette faille de sécurité zero-day présente dans le système PAN-OS des firewalls Palo Alto pour déployer une porte dérobée et s'introduire dans le réseau interne des organisations dont le matériel a été compromis.
Rappel sur la CVE-2024-3400
Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique (CVE-2024-3400) associée à un score CVSS de 10 sur 10 ! C'est une vulnérabilité de type "injection de commande" et elle a été découverte dans la fonction GlobalProtect du système PAN-OS.
Un correctif est attendu pour ce dimanche 14 avril, mais à l'heure où ces lignes sont écrites, le correctif n'a pas encore été publié par Palo Alto Networks. En attendant, pour vous protéger, vous devez désactiver la télémétrie sur votre firewall, ou activer la protection contre la menace avec l'ID 95187 dans la fonction "Threat Prevention".
Pour en savoir plus, et connaitre les versions de PAN-OS impactées, lisez cet article publié vendredi dernier sur notre site :
Une première tentative d'exploitation le 26 mars 2024
Dans son bulletin de sécurité, Palo Alto évoque le fait que cette vulnérabilité a déjà été exploitée par les cybercriminels, sans donner plus de précisions : "Palo Alto Networks a connaissance d'un nombre limité d'attaques qui exploitent cette vulnérabilité".
Néanmoins, si nous regardons ce rapport publié par la société Volexity, à l'origine de la découverte de cette vulnérabilité critique, nous apprenons qu'elle a été exploitée pour la première fois en mars 2024 : "La première preuve de tentative d'exploitation observée par Volexity jusqu'à présent remonte au 26 mars 2024, lorsque les attaquants ont semblé vérifier que l'exploitation fonctionnait correctement." - Le jour suivant, une autre tentative a été repérée par Volexity, puis, les pirates ont attendu le 10 avril 2024 pour déployer un payload.
L'acteur malveillant à l'origine de cette tentative d'exploitation est suivi par Veloxity sous le nom de UTA0218, et d'après eux, il est fort probable que ce soit un groupe de pirates sponsorisés par un État.
"Volexity estime qu'il est très probable que UTA0218 soit un acteur de menace soutenu par un État, compte tenu des ressources nécessaires pour développer et exploiter une vulnérabilité de cette nature, du type de victimes ciblées par cet acteur et des capacités affichées pour installer la porte dérobée Python et accéder aux réseaux des victimes", peut-on lire.
Une porte dérobée déployée, mais pas uniquement...
L'implant principal, appelé "Upstyle", correspond à une porte dérobée installée par l'intermédiaire d'un script Python associé à un fichier de configuration ("/usr/lib/python3.6/site-packages/system.pth"). Une fois que cette backdoor est déployée, les pirates peuvent l'exploiter pour exécuter des commandes sur le firewall compromis.
Comme le montre le schéma ci-dessous, les pirates transmettent les commandes à exécuter par l'intermédiaire de requêtes HTTP et ils génèrent volontairement une erreur. Ceci permet d'inscrire la requête, et donc la commande, dans le journal des erreurs du serveur Web du pare-feu. La porte dérobée va ensuite lire ce fichier journal et décoder la commande (base64) afin de l'exécuter.
Source : Volexity
En complément de la porte dérobée, d'autres payloads sont déployés sur le firewall : un reverse shell, un outil de suppression des logs, un outil pour exporter la configuration de PAN-OS ou encore l'outil de tunneling GOST.
Dans une attaque observée par Volexity, les pirates informatiques sont parvenus à pivoter vers le réseau interne et à voler différentes informations, parmi lesquelles la base de données Active Directory ("ntds.dit"), des journaux d'événements Windows, ou encore des données de navigateurs tels que Google Chrome et Microsoft Edge (identifiants et cookies).
Mon firewall Palo Alto a-t-il été compromis ?
Voilà une question que certains d'entre vous doivent se poser. Elle est légitime puisque cela fait plusieurs jours que cette vulnérabilité est exploitée par les cybercriminels et qu'il y a déjà eu plusieurs victimes.
Voici ce que nous dit Volexity :
"Il existe deux méthodes principales pour identifier la compromission d'un pare-feu concerné. La première méthode consiste à surveiller le trafic et l'activité du réseau émanant des dispositifs de pare-feu Palo Alto Networks. Volexity travaille toujours à la coordination avec Palo Alto Networks concernant la seconde méthode et ne la décrit donc pas pour l'instant.".
Au niveau des flux réseau, voici ce que vous devez vérifier dans les journaux :
- Vérifier si le pare-feu a effectué des requêtes "wget" vers Internet pour effectuer le téléchargement de ressources. En effet, les pirates utilisent cette commande pour récupérer des fichiers malveillants depuis leur serveur. Il s'agit de requête directe vers des adresses IP, notamment "172.233.228[.]93".
- Vérifier s'il y a eu des tentatives de connexions SMB et/ou RDP vers plusieurs systèmes de votre environnement, depuis l'appliance Palo Alto.
- Vérifier s'il y a eu des requêtes HTTP vers "worldtimeapi[.]org/api/timezone/etc/utc" à partir du pare-feu.
Nous vous tiendrons informés lorsque les correctifs seront mis en ligne.
Alerte chez Palo Alto Networks : une faille de sécurité zero-day, non patchée à l'heure actuelle, a déjà été exploitée dans le cadre de plusieurs cyberattaques ! Voici ce que l'on sait !
Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique associée à un score CVSS de 10 sur 10 ! Elle a été découverte par les chercheurs en sécurité de Volexity et elle est désormais associée à la référence CVE-2024-3400. Il s'avère que cette vulnérabilité de type "injection de commande" a été découverte dans la fonction GlobalProtect du système PAN-OS.
Dans la pratique, un attaquant, situé à distance, peut exploiter cette vulnérabilité pour exécuter des commandes sur le firewall, sans aucune interaction de la part d'un utilisateur, et sans disposer de privilèges spéciaux. Il est question ici d'exécuter des commandes en tant qu'administrateur.
À l'heure actuelle, cette faille de sécurité a déjà été exploitée : "Palo Alto Networks a connaissance d'un nombre limité d'attaques qui exploitent cette vulnérabilité", peut-on lire dans le bulletin de sécurité mis en ligne par l'éditeur de solutions de sécurité.
Quelles sont les versions de PAN-OS affectées ?
Les firewalls Palo Alto qui exécute les versions suivantes de PAN-OS sont potentiellement vulnérables : PAN-OS 10.2, 11.0 et 11.1. Ceci affecte uniquement PAN-OS, donc certaines versions spécifiques comme Cloud NGFW et Prisma Access ne sont pas impactées.
Voici le tableau récapitulatif publié par Palo Alto :
Il est important de préciser que l'exploitation de la vulnérabilité dépend de la configuration du firewall : "Ce problème s'applique uniquement aux pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec les configurations de la passerelle GlobalProtect et la télémétrie de l'appareil activées.", précise Palo Alto.
Comment se protéger de la CVE-2024-3400 ?
Pour le moment, aucun correctif n'est disponible ! Les correctifs, pour les différentes versions affectées, sont en cours de développement et sont attendus pour le dimanche 14 avril 2024, au plus tard.
Voici les versions qui seront publiées :
PAN-OS 10.2.9-h1
PAN-OS 11.0.4-h1
PAN-OS 11.1.2-h3
En attendant, et avant de partir en week-end, il est impératif de désactiver la télémétrie sur votre firewall, en suivant cette documentation officielle. Ceci empêche l'exploitation de la vulnérabilité.
Sachez que si vous avez un abonnement à la fonction "Threat Prevention", vous pouvez bloquer cette attaque en activant la protection contre la menace avec l'ID 95187. De plus, assurez-vous que cette protection soit activée sur l'interface GlobalProtect, en suivant cette page de la documentation.
Le serveur Web des contrôleurs BMC (Baseboard Management Controller) utilisés par plusieurs fabricants de serveurs, dont Lenovo et Intel, est impacté par une faille de sécurité patchée il y a environ 6 ans ! Voici ce qu'il faut savoir sur cette menace potentielle.
Le Baseboard Management Controller (BMC) est un microcontrôleur intégré sur la carte mère de certains serveurs dont l'objectif est de faciliter la gestion à distance et la surveillance à distance du serveur. Ceci implique l'utilisation d'un serveur Web afin de publier l'interface de gestion. Dans le cas présent, Lighttpd est implémenté en tant que serveur Web.
Lors d'un scan récent sur des interfaces BMC, les chercheurs en sécurité de chez Binarly ont découvert que la version de Lighttpd utilisée contient une faille de sécurité. En l'exploitant, un attaquant pourrait exfiltrer les adresses de la mémoire des processus, ce qui faciliterait le contournement de certaines fonctions de sécurité comme l'ASLR (Address Space Layout Randomization).
Il s'avère qu'elle a été corrigée en août 2018, de façon relativement discrète, par les mainteneurs du projet Lighttpd, et cette faille de sécurité n'a même pas été associée à une référence CVE ! Il y a eu un manque de transparence de la part de l'équipe de Lighttpd.
De ce fait, les développeurs d'AMI MegaRAC BMC n'ont pas vu le correctif et ne l'ont pas intégré à leur produit... Résultat, nous avons encore un bel exemple d'un problème de sécurité qui affecte la chaine d'approvisionnement puisque cela impact les vendeurs de serveurs et leurs clients.
Voici un schéma très explicite intégré dans le rapport de Binarly :
Source : Binarly
Intel, Lenovo et Supermicro impactés !
Plusieurs fabricants et références de serveurs sont concernés par ce problème de sécurité, notamment Intel, Lenovo et Supermicro. Voici des précisions apportées par Binarly (avec des ID internes associés à ces problèmes de sécurité) :
BRLY-2024-002 : Vulnérabilité spécifique dans la version 1.4.45 de Lighttpd utilisée dans la version 01.04.0030 (la plus récente) du micrologiciel de la série M70KLP d'Intel, impactant certains modèles de serveurs Intel.
BRLY-2024-003 : Vulnérabilité spécifique dans Lighttpd version 1.4.35 dans le firmware Lenovo BMC version 2.88.58 (la plus récente) utilisé dans les modèles de serveurs Lenovo HX3710, HX3710-F, et HX2710-E.
BRLY-2024-004 : Vulnérabilité générale dans les versions du serveur web Lighttpd antérieures à 1.4.51, permettant la lecture de données sensibles depuis la mémoire du processus du serveur.
Certains systèmes Intel et Lenovo ont été commercialisés récemment et devraient bénéficier d'un correctif. Néanmoins, ce ne sera pas le cas pour tous les serveurs, car certains modèles ne sont plus pris en charge. Par exemple, l'Intel Server System M70KLP a été lancé au premier trimestre 2021 et abandonné en février 2024 (ce qui est très court, en fait !).
Malheureusement, d'après Binarly, il y a une quantité importante d'interfaces BMC vulnérables et accessibles sur Internet, qui correspondent à du matériel en fin de vie et qui resteront vulnérables...
BatBadBut, c'est le nom d'une nouvelle faille de sécurité critique découverte dans la bibliothèque Rust ! Elle pourrait être exploitée par un attaquant pour exécuter des commandes sur les machines sous Windows ! Faisons le point.
Cette vulnérabilité associée à la référence CVE-2024-24576 est considérée comme critique : son score CVSS est de 10 sur 10, ce qui représente le niveau de sévérité maximal.
Pour autant, cette faille de sécurité peut être exploitée uniquement dans des scénarios spécifiques : "La bibliothèque standard Rust n'échappait pas correctement les arguments lors de l'invocation de fichiers batch (avec les extensions bat et cmd) sous Windows à l'aide de l'API Command", peut-on lire dans le bulletin de sécurité publié sur le site de Rust, le 9 avril 2024. Ceci explique que la vulnérabilité soit exploitable uniquement sur Windows.
Pour exploiter cette vulnérabilité, l'attaquant doit contrôler les arguments transmis au processus créé au moment de l'invocation du fichier batch pour exécuter les commandes shell arbitraires, en contournant le mécanisme d'échappement (escaping).
Le chercheur en sécurité RyotaK de chez Flatt Security a fait la découverte de cette vulnérabilité présente dans toutes les versions de Rust avant la version 1.77.2. Si vous utilisez Rust, vous devez donc effectuer la mise à jour vers 1.77.2 car cette version corrige cette faille de sécurité (voir cette page).
Rust ne serait pas le seul langage affecté par BatBadBut
RyotaK a surnommé cette vulnérabilité BatBadBut, et d'après lui, Rust n'est pas le seul langage de programmation affecté : tout dépend de comment est géré la fonction CreateProcess de Windows.
"CreateProcess() crée implicitement cmd.exe lors de l'exécution de fichiers batch (.bat, .cmd, etc.), même si l'application ne les a pas spécifiés dans la ligne de commande. Le problème est que cmd.exe a des règles de parsing compliquées pour les arguments de la commande, et que les exécutions des langages de programmation ne parviennent pas à échapper correctement les arguments de la commande.", précise-t-il dans un rapport publié sur le site de Flatt Security.
Pour le moment, tous les langages de programmation affectés n'ont pas résolu le problème, et il y a un travail à réaliser également du côté développement pour mieux gérer l'échappement.
Voici un tableau récapitulatif publié par RyotaK :
Si vous êtes développeur, le rapport de RyotaK pourra vous apporter des détails techniques intéressants, notamment pour améliorer votre code afin de gérer ce problème de sécurité.
À l'occasion de son Patch Tuesday d'avril 2024, Microsoft a corrigé deux failles de sécurité zero-day dans Windows. Elles sont déjà connues des attaquants et exploitées dans le cadre de cyberattaques. Faisons le point sur ces deux menaces !
Pour rappel, le Patch Tuesday d'avril 2024 de Microsoft permet de corriger au total 150 failles de sécurité, ainsi que les deux zero-day évoquées dans cet article.
CVE-2024-26234 - Vulnérabilité dans le pilote de Proxy de Windows (spoofing)
En décembre 2023, l'équipe de chercheurs en sécurité Sophos X-Ops a fait la découverte de cette faille de sécurité dans le pilote de Proxy de Windows. Elle a été reportée à Microsoft par l'intermédiaire de Christopher Budd. Cette vulnérabilité permet d'usurper l'identité de l'éditeur de Microsoft, car elle permet de signer un pilote ou un exécutable avec le certificat "Microsoft Hardware Publisher". Un certificat valide et approuvé par le système d'exploitation Windows.
C'est en effectuant l'analyse d'un exécutable nommé "Catalog.exe" émanant de "Catalog Thales" et décrit comme "Catalog Authentication Client Service" que Sophos a fait la découverte de ce problème de sécurité. Il s'agit sans aucun doute d'une tentative d'usurpation d'identité du groupe Thales, tentée par les pirates.
"Toutefois, après avoir consulté nos données internes et les rapports de VirusTotal, nous avons découvert que le fichier était auparavant intégré à un fichier d'installation pour un produit appelé LaiXi Android Screen Mirroring", peut-on lire dans le rapport publié par Sophos. Ceci est cohérent vis-à-vis d'une découverte effectuée également par les équipes de Stairwell, comme nous pouvons le voir dans ce rapport.
Sophos n'est pas parvenu à savoir si cette application provenait d'un éditeur légitime ou non, mais "nous sommes convaincus que le fichier que nous avons examiné est une porte dérobée malveillante.", précise leur rapport.
Ensuite, Sophos a pris contact avec l'équipe du Microsoft Security Response Center dans le but de signaler ce problème de sécurité. Microsoft a pris la décision de révoquer le certificat de signature de code utilisé par les pirates, grâce à la mise à jour de la liste de révocation (d'où la CVE-2024-26234 et le correctif associé.
CVE-2024-29988 - Vulnérabilité dans la fonction SmartScreen de Windows (bypass)
La vulnérabilité CVE-2024-29988 est présente dans la fonction de sécurité SmartScreen de Windows. Elle met en défaut le mécanisme de protection visant à protéger l'utilisateur contre l'exécution de fichiers potentiellement dangereux. La protection SmartScreen peut être contournée par cette vulnérabilité. Ainsi, elle ouvre la porte à l'exécution de malwares.
Ce problème de sécurité n'est pas nouveau, car il s'avère que la vulnérabilité CVE-2024-29988 permet de contourner le correctif CVE-2024-21412 précédemment mis au point par Microsoft (correctif publié en février 2024), qui lui-même permettait de bypasser le correctif CVE-2023-36025. Il s'avère que le précédent patch n'a pas corrigé totalement la vulnérabilité. Elle a été découverte par Peter Girnus de l'équipe Trend Micro Zero Day Initiative, ainsi que Dmitrij Lenz et Vlad Stolyarov de l'équipe Google Threat Analysis Group.
D'après Dustin Childs de l'équipe Trend Micro Zero Day Initiative (voir cette page), cette vulnérabilité est activement utilisée dans des attaques pour déployer des logiciels malveillants sur les machines Windows, en échappant aux systèmes de détection EDR/NDR et contournant la fonction "Mark of the Web" sur laquelle s'appuie SmartScreen, grâce à l'utilisation d'un fichier ZIP.
D'ailleurs, le groupe de pirates Water Hydra a exploité la vulnérabilité CVE-2024-21412 et il exploite désormais la CVE-2024-29988 dans le but d'infecter l'appareil des victimes avec le malware DarkMe, qui est un cheval de Troie d'accès à distance (RAT). Ce groupe cible en priorité les forums et canaux Telegram de forex.
Si vous utilisez un NAS D-Link, vous devriez lire cet article avec attention : un chercheur en sécurité a fait la découverte d'une porte dérobée codée en dur dans le firmware de nombreux modèles ! Le problème, c'est que ce sont des modèles en fin de vie. Faisons le point sur ce problème de sécurité !
Derrière la référence CVE-2024-3273 se cache une faille de sécurité associée à deux problèmes de sécurité. Tout d'abord, il y a une porte dérobée accessible par l'intermédiaire d'un compte utilisateur codé en dur, avec le nom d'utilisateur "messagebus" et sans mot de passe. Puis, un paramètre nommé "system" permet d'effectuer de l'exécution de commande. Cela signifie que si un NAS vulnérable est exposé sur Internet, un attaquant peut exécuter des commandes sur l'appareil, à distance.
Netsecfish, à l'origine de la découverte de cette vulnérabilité, a indiqué qu'elle était présente dans le script "/cgi-bin/nas_sharing.cgi" de certains NAS D-Link.
"L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d'exécuter des commandes arbitraires sur le système, ce qui pourrait conduire à un accès non autorisé à des informations sensibles, à la modification des configurations du système ou à des conditions de déni de service", précise-t-il.
Quels sont les modèles affectés ?
Plusieurs modèles de NAS D-Link sont directement affectés par cette vulnérabilité et ce problème de sécurité important. Voici la liste :
DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
DNS-325 Version 1.01
DNS-327L Version 1.09, Version 1.00.0409.2013
DNS-340L Version 1.08
La mauvaise nouvelle, c'est que ce sont des appareils en fin de vie et D-Link n'effectue plus la moindre prise en charge sur ces modèles. Dans un article mis en ligne sur son site officiel, D-Link recommande à ses utilisateurs d'arrêter d'utiliser ces modèles et de les remplacer par des modèles plus récents. En attendant, il est recommandé de ne pas exposer ces appareils sur Internet.
Plus de 92 000 NAS exposés et vulnérables
D'après un scan réalisé par le chercheur en sécurité Netsecfish, il y a plus de 92 000 NAS D-Link vulnérables à la CVE-2024-3273 et qui sont exposés sur Internet. Autrement dit, ils sont à la portée d'un pirate informatique. La compromission d'un NAS D-Link peut servir d'accès initial à un attaquant...
Grosse alerte de sécurité : la bibliothèque "liblzma" utilisée par de nombreuses distributions Linux est victime d'une compromission de la chaîne d'approvisionnement : les dernières versions contiennent du code malveillant qui permet de déployer une porte dérobée sur le système. Faisons le point sur cette menace.
La bibliothèque liblzma appelée aussi XZ Utils est présente dans de nombreuses distributions Linux, notamment Arch Linux, Fedora, Debian, OpenSUSE, Alpine Linux, etc... Il s'agit d'une bibliothèque de compression de données susceptible d'être utilisées par d'autres applications.
Il s'avère que deux versions de la bibliothèque liblzma sont impactées par une attaque de type supply chain : 5.6.0 ou 5.6.1. La version 5.6.0 date de fin février tandis que la version 5.6.1 a été publiée le 9 mars 2024. Ces deux versions du paquet XZ contiennent du code malveillant qui a été très bien dissimulé par les auteurs de cette attaque, par l'intermédiaire d'un fichier m4 avec du code obfusqué. Il est visible uniquement lorsque le paquet est téléchargé en intégralité, donc il est invisible sur Git, par exemple.
Andres Freund, ingénieur logiciel chez Microsoft, a fait la découverte de ce problème de sécurité en menant des investigations sur une machine Debian Sid, après avoir constaté que les connexions SSH étaient anormalement longues.
Si une version compromise du paquet XZ est installée sur une machine, alors une porte dérobée est également déployée. Celle-ci offre un accès distant à l'attaquant qui pourrait se connecter à votre machine par l'intermédiaire d'une connexion SSH, sans avoir besoin de connaître vos identifiants (car il y a un lien entre systemd et liblzma).
Sachez que ceci est considéré comme une vulnérabilité et que la référence CVE pour cette faille de sécurité critique est la suivante : CVE-2024-3094. Sans surprise, un score CVSS v3.1 de 10 sur 10 a été associé à cette vulnérabilité.
Quels sont les systèmes affectés ?
Même si plusieurs distributions telles que Debian, Fedora ou encore Arch Linux sont concernées, ceci n'affecte pas toutes les versions. En effet, ceci concerne avant tout les versions en cours de développement, dont Debian Sid qui est la future version stable de Debian.
Pour Fedora, sachez que Fedora Rawhide et Fedora 41 sont affectées par ce problème de sécurité. Au sein du bulletin de sécurité de Red Hat, nous pouvons également lire ceci : "Aucune version de Red Hat Enterprise Linux (RHEL) n'est concernée.", ce qui n'est pas surprenant.
Potentiellement, tout autre système avec le paquet XZ en version 5.6.0 ou 5.6.1 est également affecté, donc vérifiez vos machines. Dans ce cas, il convient d'effectuer un downgrade vers la version 5.4.6.
Cette commande doit permettre d'obtenir la version :
dpkg -l | grep "xz-utils"
Pour approfondir le sujet, vous pouvez lire cet article intéressant qui donne des détails techniques supplémentaires, ainsi que l'origine de cette compromission : un nouveau développeur qui est venu épauler le créateur de la bibliothèque XZ Utils.
GoFetch, c'est le nom d'une attaque qui exploite une faille de sécurité importante découverte dans les puces Apple M1, M2 et M3 utilisées par les générations les plus récentes de Mac. La particularité de cette vulnérabilité : elle ne peut pas être corrigée, à moins d'impacter très fortement les performances des puces fabriquées par Apple. Faisons le point !
Une équipe de chercheurs du MIT Computer Science & Artificial Intelligence Laboratory (CSAIL) a mis au point une technique d'attaque baptisée GoFetch, qui exploite une faille de sécurité matérielle présente dans les puces Apple Silicon. Cette attaque de type "side-channel" cible une fonction d'optimisation matérielle appelée Data Memory-dependent Prefetcher (DMP).
Le DMP est une fonction intégrée dans les puces Apple et qui a pour objectif d'aider le processeur à deviner les données dont il pourrait avoir besoin ensuite afin d'optimiser les performances (principe du prefetch). Dans le cas présent, l'attaque permet de tromper la fonction DMP afin qu'elle révèle des informations sensibles stockées en mémoire.
En effet, en exploitant GoFetch, un attaquant pourrait extraire des clés cryptographiquesstockées sur un Mac (OpenSSL Diffie-Hellman, Go RSA, CRYSTALS Kyber et Dilithium) dans le but de contourner les opérations de chiffrement effectuées directement par la puce Apple Silicon. Il serait possible de compromettre les clés utilisées par divers algorithmes de chiffrement. In fine, ceci facilite l'accès aux données stockées sur le Mac.
Pour mener à bien cette attaque, l'attaquant doit convaincre la victime d'exécuter un malware (par l'intermédiaire d'un e-mail malveillant, par exemple). Le malware doit être exécuté en parallèle de l'application prise pour cible, et ce, pendant un certain temps afin de pouvoir voler la clé.
Comment se protéger de la faille GoFetch ?
GoFetch fait référence à une faille de sécurité matérielle dans l'architecture même des puces Apple, donc en raison de sa nature, il ne sera pas possible de corriger directement la vulnérabilité. L'intégration d'un correctif ou d'une mesure d'atténuation va passer par la couche logicielle.
Le problème, c'est que la mise en œuvre d'un quelconque correctif va très fortement dégrader les performances des puces Apple, en particulier les deux premières générations : Apple M1 et M2. D'ailleurs, au passage, cette histoire n'est pas sans rappeler les failles de sécurité Meltdown et Spectre qui touchaient de nombreux processeurs Intel et AMD et dont la correction impactait également les performances du processeur.
Pour en savoir plus, vous pouvez consulter le site officiel de GoFetch. Sur ce site, il est d'ailleurs précisé qu'un code PoC sera mis en ligne prochainement... Apple ne s'est pas encore exprimé au sujet de GoFetch. Affaire à suivre...
Connexion
