learn.hack.repeat

Étiquette : Vulnérabilité Page 4 of 15

Un 0-day dans Zimbra est activement exploité

de

On 19/10/2022

dans CVE, Sécurité

Zimbra a publié des mises à jour de sécurité pour corriger une vulnérabilité critique de type « zero-day » qui est activement exploitée dans sa suite de collaboration d’entreprise Zimbra Collaboration (ZCS).

La faille de sécurité, à laquelle a été attribué l’identifiant CVE-2022-41352, est une vulnérabilité de type 0-day qui affecte un composant de la suite Zimbra appelé Amavis (un scanner de logiciels malveillants utilisé dans les serveurs de messagerie Unix), et plus particulièrement l’utilitaire cpio qu’il utilise pour extraire les fichiers. Le score CVSS, qui indique la gravité de cette faille de sécurité, est de 9,8 sur 10.

L’exploitation de cette vulnérabilité pourrait permettre le téléchargement de fichiers arbitraires en raison de l’incapacité de cpio à gérer de manière sécurisée les fichiers non fiables et conduire à un accès inapproprié à tout autre compte utilisateur.

En exploitant cette vulnérabilité, un attaquant peut insérer un shell dans la racine du site web et obtenir l’exécution de code à distance. Pour l’exploiter, il suffit d’envoyer un courriel avec une pièce jointe .TAR, .CPIO ou .RPM spécialement conçue. Lorsqu’Amavis inspecte les pièces jointes, il utilise cpio pour extraire le fichier, ce qui déclenche l’exploit.

Ce problème semble provenir de la vulnérabilité sous-jacente CVE-2015-1197 qui remonte à 2015 et avait été corrigée. Cependant, dans les distributions ultérieures, le patch a été annulé, selon la déclaration de Flashpoint. Pour être exploitée, cette vulnérabilité nécessite une application secondaire qui utilise cpio pour l’extraction de fichiers.

D’autre part, l’entreprise de sécurité Kaspersky a signalé que des groupes inconnus ont activement exploité cette vulnérabilité critique. Les attaques se sont déroulées en deux vagues ; la première, début septembre, a visé principalement des entités gouvernementales en Asie. La deuxième vague d’attaques a été menée fin septembre, avec une portée beaucoup plus large, visant tous les serveurs vulnérables (gouvernementaux, télécommunications, informatiques, etc.) situés dans les pays d’Asie centrale.

Le 7 octobre, une preuve de concept (PoC) pour cette vulnérabilité a été ajoutée à Metasploit, ouvrant la voie à une exploitation massive par des attaquants même de bas niveau.

À cet égard, la société de réponse aux incidents Volexity a identifié environ 1 600 serveurs Zimbra susceptibles d’être compromis à cause de cette vulnérabilité.

Les correctifs de sécurité sont disponibles dans les versions suivantes :

  • Zimbra 9.0.0.0 Patch 27
  • Zimbra 8.8.15 Patch 34

En plus de l’application des correctifs ci-dessus, les administrateurs et les propriétaires de serveurs Zimbra sont encouragés à vérifier les indicateurs de compromission (IOC). Voici les emplacements connus des webshells déployés par des acteurs malveillants qui exploitent actuellement la vulnérabilité CVE-2022-41352 :

/opt/zimbra/jetty/webapps/zimbra/public/.error.jsp
/opt/zimbra/jetty/webapps/zimbra/public/ResourcesVerificaton.jsp
/opt/zimbra/jetty/webapps/webapps/zimbra/public/ResourceVerificaton.jsp
/opt/zimbra/jetty/webapps/zimbra/public/ZimletCore.jsp
/opt/zimbra/jetty/webapps/zimbra/public/searchx.jsp
/opt/zimbra/jetty/webapps/zimbra/public/seachx.jsp

Il convient de noter que l’exploit Metasploit utilise une chaîne de 4 à 10 caractères aléatoires pour le nom du webshell JSP :

/opt/zimbra/jetty_base/webapps/zimbra/[4-10 caractères aléatoires].jsp

Il est important de considérer que la suppression du fichier .JSP n’est pas suffisante. L’attaquant aurait pu accéder aux fichiers de configuration, aux mots de passe utilisés dans les comptes d’administration et de service, aux informations confidentielles, déployer et cacher d’autres portes dérobées, etc.

Plus d’information :
https://blog.zimbra.com/2022/10/new-zimbra-patches-9-0-0-patch-27-8-8-15-patch-34/
https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P27
https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P34
https://flashpoint.io/blog/zero-day-vulnerability-zimbra-collaboration-cpio/
https://securelist.com/ongoing-exploitation-of-cve-2022-41352-zimbra-0-day/107703/
https://twitter.com/Volexity/status/1580591431197945857

Vulnérabilité dans les produits Fortinet CVE-2022-40684

de

On 13/10/2022

dans CVE, Sécurité

L’entreprise de produits de sécurité indique que la vulnérabilité a été exploitée dans au moins un incident. Les produits FortiOS, FortiProxy et FortiSwitch manager, pourraient être laissés entre les mains d’un attaquant via des requêtes HTTP ou HTTPS malveillantes.

Source: fortinet.com

Cette vulnérabilité est classée comme CWE-288, c’est-à-dire qu’elle permet d’accéder à l’interface d’administration des produits affectés par des canaux ne nécessitant pas d’authentification. Pour valider si vous avez été victime d’une attaque, la société recommande de rechercher l’indicateur de compromission :

utilisateur="Local_Process_Access"

dans les journaux des appareils vulnérables.

Produits concernés

  • FortiOs 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
  • FortiProxy 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 7.0.0, 7.0.0
  • FortiSwitchManager 7.2.0, 7.0.0

En plus des mises à jour correspondantes de ces produits pour corriger la vulnérabilité, la société a fourni une solution de contournement consistant à désactiver l’accès à l’interface d’administration via HTTP/HTTPS ou à créer une liste blanche des IP pouvant accéder au port correspondant.

La criticité de cette CVE est maximale, avec un score CVSSv3 de 9,6. Depuis le 7 octobre, des rapports ont commencé à circuler selon lesquels Fortinet contactait les administrateurs de ses produits pour qu’ils effectuent une mise à jour vers le nouveau correctif.

Interrogée sur la vulnérabilité, la société a indiqué qu’avant de la rendre publique, elle s’assurait que ses clients en étaient informés et mettaient en œuvre les mesures nécessaires pour éviter les incidents.

Comme indiqué sur twitter, les chercheurs de l’équipe d’attaque Horizon3 ont une preuve de concept prête, obtenue par rétro-ingénierie du patch publié. Cette preuve de concept sera publiée plus tard dans la semaine.

Compte tenu de la gravité de cette vulnérabilité et du type de produits qu’elle affecte, il est de la plus haute importance que les correctifs ou les solutions de contournement proposés par Fortinet soient appliqués immédiatement.

Plus d’information :
https://www.fortiguard.com/psirt/FG-IR-22-377
https://thehackernews.com/2022/10/fortinet-warns-of-active-exploitation.html
https://www.tenable.com/blog/cve-2022-40684-critical-authentication-bypass-in-fortios-and-fortiproxy
https://securityaffairs.co/wordpress/136905/breaking-news/cve-2022-40684-fortinet-products-exploited.html
https://infosecwriteups.com/cve-2022-40684-new-authentication-bypass-affecting-fortigate-and-fortiproxy-c9bd36112949
https://www.bleepingcomputer.com/news/security/fortinet-says-critical-auth-bypass-bug-is-exploited-in-attacks/
https://www.rapid7.com/blog/post/2022/10/07/cve-2022-40684-remote-authentication-bypass-vulnerability-in-fortinet-firewalls-web-proxies/

Vulnerability Reward

de

On 31/08/2022

dans Sécurité

Le code open source est sous les projecteurs de la sécurité. Les attaques contre ce type de logiciel (généralement sous la forme d’une chaîne d’approvisionnement, c’est-à-dire un logiciel qui utilise d’autres logiciels libres ou non libres dans le cadre de ses fonctionnalités) ont augmenté de 650 % en 2021. Et non, les milliers d’yeux qui sont censés être capables de voir le code ne semblent pas le vérifier. Du moins, pas gratuitement. En 2017, l’Europe a lancé le projet EU-FOSSA (EU-Free and Open Source Software Auditing) pour rémunérer toute personne qui auditerait des logiciels libres largement utilisés (VLC, Keepass…). Et maintenant, Google va également payer pour encourager les logiciels libres (qu’ils utilisent) à être audités.

Elle paiera de 100 à 31 337 dollars pour les bugs découverts dans les logiciels libres stockés dans les référentiels publics de Google. Bien entendu, elle s’appuie sur des projets dont Google est propriétaire ou dont la société fait un usage intensif. L’accent est mis sur Bazel (compilateur et testeur), le protocole Buffer, Angular, Golang, Fuchsia (un système d’exploitation simple pour les mobiles) auxquels ils accorderont une attention particulière. Mais les tiers dont dépendent ces logiciels entrent également dans l’équation.

L’initiative OSS VRP (Open Source Software Vulnerability Reward Program) fait partie des 10 millions de dollars que Google s’est engagé à dépenser l’année dernière après avoir rencontré à la Maison Blanche l’administration Biden, qui a fait remarquer que les bugs des logiciels libres étaient déjà une préoccupation nationale.

Plus d’information:
https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules

toc-toc

de

On 28/07/2022

dans CVE

Microsoft a constaté une augmentation de la détection de portes dérobées basées sur des extensions de son serveur web Internet Information Services (IIS). La raison en est que les modules qui servent d’extensions à IIS sont parfaitement structurés pour camoufler un code malveillant qui passe sous la ligne radar des systèmes de détection des logiciels malveillants, y compris Microsoft Defender lui-même.

Pourquoi ? Les extensions IIS malveillantes sont programmées en C# et présentent généralement une structure logique minimale. Cela simplifie leur développement mais renforce également leur capacité de furtivité en générant le minimum d’activité nécessaire. Ils parviennent à passer inaperçus une fois qu’ils sont installés dans le système.

Mais malgré leur taille et leur fonctionnalité, ils sont capables de capturer des informations, de manipuler le trafic et d’ouvrir un shell web aux attaquants. Ils ne s’impliquent pas dans le système au-delà des domaines et des ressources du serveur web, évitant ainsi les endroits souvent visités par les logiciels malveillants.

L’article fournit des instructions sur la façon de déployer une stratégie défensive qui répond à ce cas particulier, ainsi que des indicateurs de compromission pour les extensions malveillantes connues.

Plus d’informations:
https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/

The Office World

de

On 26/07/2022

dans CVE

Deux des bugs les plus importants de l’année sont apparus dans Office, et sont liés à de nouvelles façons d’exécuter du code dans Word ou Excel. La manipulation des appels de protocole intégrés permet l’exécution de code en dehors du contexte des macros. En janvier, nous avons encore eu des problèmes avec CVE-2021-40444 (protocole MSHTML) et en mai avec le dénommé Follina (protocole MSDT) qui permettait à nouveau l’exécution de code.

Cela a donné matière à réflexion : les macros ne sont-elles pas en train de devenir un vecteur d’attaque obsolète au profit de techniques plus sophistiquées, moins détectées et qui ont encore de beaux jours devant elles (on pense que les vulnérabilités liées à l’utilisation des protocoles intégrés dans Office vont continuer à apparaître). Mais il est intéressant de noter qu’une initiative de Microsoft a bouleversé cette idée à plusieurs reprises. En janvier, il a été annoncé que d’ici juin 2022, les macros seraient complètement bloquées pour les documents téléchargés sur le web. Et c’est ce qui s’est passé. Un message rouge beaucoup plus voyant est apparu pour tenter d’empêcher les utilisateurs d’activer les macros. Mais, juste en juillet, elle a annoncé qu’elle allait revenir sur ce changement. L’ancien « contenu admissible » était de retour. Les macros comme vecteur d’attaque avaient une pierre de moins sur leur chemin. Et nous disons « avait » car moins d’une semaine après l’annonce, il a encore changé d’avis : les macros sont à nouveau désactivées par défaut sans possibilité de les activer lorsqu’un utilisateur vient d’Internet. Espérons que ça reste ainsi. Il leur a fallu 25 ans pour prendre cette décision.

Plus d’information:
https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/bc-p/3566717

Page 4 of 15

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén