La faille OpenSSL, qui a fait couler beaucoup d’encre, a été rétrogradée de critique à haute. C’est avec ce particulier « trick or treat » qu’une vulnérabilité dans OpenSSL a semblé effrayer plus d’un administrateur système (à une époque particulièrement propice aux histoires d’horreur). Les failles sont les CVE-2022-3786 et CVE-2022-3602. Certains ont tenté de l’appeler SpookySSL et de le comparer à Heartbleed… sans grand succès.
Heureusement, le bug n’était pas si grave. Cependant, il reste d’une grande importance et peut conduire à une exécution de code arbitraire ou à un déni de service dans certaines conditions.
Le bug était un « off-by-one » dans la fonction « ossl_punycode_decode » causé par une expression de comparaison arithmétique. En fait, l’opérateur « > » a été remplacé par « >= ». Cette absence de comparaison avec les « égaux » permet d’écrire 4 octets de mémoire de pile via un domaine internationalisé (avec punycode) dans le champ e-mail d’un certificat numérique.
Un correctif existe déjà et de nombreux projets ont pu diffuser des mises à jour avant que les détails ne soient publiés. L’exploitation, cependant, n’est pas simple. Bien que ce soit un défi de faire tenir quelque chose de productif dans 4 octets, le certificat numérique doit être signé ou accepté par l’utilisateur s’il ne provient pas d’une autorité de certification connue.
Zimbra a publié des mises à jour de sécurité pour corriger une vulnérabilité critique de type « zero-day » qui est activement exploitée dans sa suite de collaboration d’entreprise Zimbra Collaboration (ZCS).
La faille de sécurité, à laquelle a été attribué l’identifiant CVE-2022-41352, est une vulnérabilité de type 0-day qui affecte un composant de la suite Zimbra appelé Amavis (un scanner de logiciels malveillants utilisé dans les serveurs de messagerie Unix), et plus particulièrement l’utilitaire cpio qu’il utilise pour extraire les fichiers. Le score CVSS, qui indique la gravité de cette faille de sécurité, est de 9,8 sur 10.
L’exploitation de cette vulnérabilité pourrait permettre le téléchargement de fichiers arbitraires en raison de l’incapacité de cpio à gérer de manière sécurisée les fichiers non fiables et conduire à un accès inapproprié à tout autre compte utilisateur.
En exploitant cette vulnérabilité, un attaquant peut insérer un shell dans la racine du site web et obtenir l’exécution de code à distance. Pour l’exploiter, il suffit d’envoyer un courriel avec une pièce jointe .TAR, .CPIO ou .RPM spécialement conçue. Lorsqu’Amavis inspecte les pièces jointes, il utilise cpio pour extraire le fichier, ce qui déclenche l’exploit.
Ce problème semble provenir de la vulnérabilité sous-jacente CVE-2015-1197 qui remonte à 2015 et avait été corrigée. Cependant, dans les distributions ultérieures, le patch a été annulé, selon la déclaration de Flashpoint. Pour être exploitée, cette vulnérabilité nécessite une application secondaire qui utilise cpio pour l’extraction de fichiers.
D’autre part, l’entreprise de sécurité Kaspersky a signalé que des groupes inconnus ont activement exploité cette vulnérabilité critique. Les attaques se sont déroulées en deux vagues ; la première, début septembre, a visé principalement des entités gouvernementales en Asie. La deuxième vague d’attaques a été menée fin septembre, avec une portée beaucoup plus large, visant tous les serveurs vulnérables (gouvernementaux, télécommunications, informatiques, etc.) situés dans les pays d’Asie centrale.
Le 7 octobre, une preuve de concept (PoC) pour cette vulnérabilité a été ajoutée à Metasploit, ouvrant la voie à une exploitation massive par des attaquants même de bas niveau.
À cet égard, la société de réponse aux incidents Volexity a identifié environ 1 600 serveurs Zimbra susceptibles d’être compromis à cause de cette vulnérabilité.
Les correctifs de sécurité sont disponibles dans les versions suivantes :
Zimbra 9.0.0.0 Patch 27
Zimbra 8.8.15 Patch 34
En plus de l’application des correctifs ci-dessus, les administrateurs et les propriétaires de serveurs Zimbra sont encouragés à vérifier les indicateurs de compromission (IOC). Voici les emplacements connus des webshells déployés par des acteurs malveillants qui exploitent actuellement la vulnérabilité CVE-2022-41352 :
Il est important de considérer que la suppression du fichier .JSP n’est pas suffisante. L’attaquant aurait pu accéder aux fichiers de configuration, aux mots de passe utilisés dans les comptes d’administration et de service, aux informations confidentielles, déployer et cacher d’autres portes dérobées, etc.
La société de cybersécurité Sophos a publié un communiqué mettant en garde contre une grave faille de sécurité dans son pare-feu, qui est activement exploitée.
La faille, enregistrée sous le nom de CVE-2022-1040, a un classement CVSS de 9,8 sur 10 et affecte la version 1.5 MR3 (18.5.3) de Sophos Firewall et les versions antérieures. La vulnérabilité est une vulnérabilité de contournement d’authentification dans le portail utilisateur et l’interface d’administration qui, si elle est exploitée avec succès, permettrait à un attaquant distant d’exécuter du code arbitraire.
Selon le communiqué, Sophos a détecté que la faille est activement exploitée contre des organisations spécifiques, principalement en Asie du Sud, qui ont été signalées directement à Sophos.
Le correctif qui corrige la vulnérabilité est automatiquement installé sur les clients dont l’option est activée sur leur pare-feu. Comme mesure d’atténuation, Sophos recommande de désactiver complètement l’accès Web aux portails utilisateur et administratif.
L’importance d’un développement sécurisé
Une fois de plus, il est démontré que lors de développement d’applications web, il est plus qu’important de les développer avec une perspective de sécurité que sur la convivialité ainsi que l’importance des tests OWASP (Open Web Application Security Project) dans les tests de pré-production afin que ces types de vulnérabilités puissent être évités autant que possible, contribuant à un environnement plus sûr.
Pour ceux qui ne connaissent pas l’OWASP, il s’agit d’un projet consacré à la recherche et à la lutte contre les vulnérabilités des logiciels. La Fondation OWASP est une organisation à but non lucratif qui fournit l’infrastructure et le soutien nécessaires pour rendre le projet possible. Il existe un guide bien connu pour effectuer les tests nécessaires afin de s’assurer que le développement réalisé par les équipes de programmeurs est conforme aux normes de sécurité, le guide OWASP Web Security Testing Guide (WSTG), un élément quasi indispensable dans la boîte à outils de toute équipe de développement soucieuse de la sécurité de ses projets.
