La grande histoire de la semaine dernière est un problème dans les appareils BIG-IP du F5. Une vulnérabilité de traversée de chemin plutôt banale permet à un utilisateur non authentifié d'appeler des points de terminaison destinés à être restreints à authentifiés. Cette attaque peut apparemment être aussi simple que:

'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'

Un exploit complet a été ajouté au framework metasploit. La chronologie de ce bug est extrêmement rapide, car il est apparemment activement exploité dans la nature. Les appareils F5 sont utilisés partout dans le monde, et cette vulnérabilité ne nécessite aucune configuration spéciale, juste un accès au port de gestion ouvert. Heureusement, les appareils F5 n'exposent pas l'interface vulnérable à Internet par défaut, mais il existe encore de nombreuses manières dont cela peut poser problème.

Freta

Microsoft a rendu public un nouvel outil, Freta. Cet outil recherche les rootkits dans les instantanés de mémoire téléchargés à partir d'une machine virtuelle Linux. Le nom, à juste titre, vient de la rue où est née Marie Curie.

L'homonyme du projet, la rue Freta de Varsovie, a été le lieu de naissance de Marie Curie, pionnière de l'imagerie sur le champ de bataille.

L'élan derrière le projet est la prise de conscience qu'une fois qu'un acteur malveillant a compromis une machine, il est possible de compromettre tout logiciel de sécurité fonctionnant sur cette machine. Si, au lieu de cela, on pouvait effectuer une sorte de radiographie de sécurité, alors une conclusion plus fiable pourrait être atteinte. Freta tire parti du modèle VM et de la capacité d'instantané intégrée aux hyperviseurs modernes.

Comme vous pouvez l'imaginer, l'idée d'envoyer des instantanés de vos machines virtuelles Linux à Microsoft pour analyse a été accueillie avec un certain scepticisme. Cela dit, le principal cas d'utilisation de Freta sera probablement le cloud Azure, il est donc raisonnable de voir cela comme un autre outil pour cet écosystème. Il sera intéressant de voir cette technologie mûrir, car il semble y avoir un grand potentiel.

Compatibilité des vulnérabilités dans IE11

Plus tôt dans l'année, un autre jscript.dll une vulnérabilité a été trouvée et corrigée dans Internet Explorer. En résumé, jscript.dll est le moteur javascript d'IE8. La présence continue du mode de compatibilité IE8 signifie que cette ancienne base de code persiste toujours dans les versions Windows modernes. Si IE8 n'était accessible que par l'intervention de l'utilisateur, cela poserait beaucoup moins de problèmes, mais un site Web peut demander ce mode de compatibilité, ce qui signifie que la simple visite d'un site Web malveillant pourrait permettre une attaque.

Ce que nous avons cette semaine est un aperçu détaillé de CVE-2020-1062, le bug en question. C'est une utilisation après la libération, et elle est déclenchée par la libération d'un objet dans un rappel remplacé de cet objet. Dans l'exemple de code, l'exploit définit la fonction «toString» et parvient à libérer l'objet parent dans cette fonction. Comme c'est presque toujours le cas, trouver un crash est la partie facile, mais le transformer en un exploit fonctionnel est beaucoup plus difficile. Le bogue use-after-free ne permet pas en soi l'exécution de code, mais entraîne le saut d'exécution de code vers un emplacement contrôlé par l'attaquant. À l'aide de l'outil Binary Ninja, les chercheurs ont trouvé une fonction existante vers laquelle ils pouvaient sauter et à partir de là, exécuter l'exécution de code à distance. L'histoire complète est plus complexe que nous n'avons d'espace ici pour couvrir, alors allez la consulter pour plus de détails.

Citrix Bug Detaillé

Plus tôt cette année, nous avons couvert CVE-2019-19781, une autre vulnérabilité transversale de chemin, mais celle-ci se trouve dans les produits Citrix. Maintenant, six mois se sont écoulés depuis la divulgation initiale, et Mikhail Klyuchnikov a rédigé un rapport plus détaillé sur la faille.

Au fond, la vulnérabilité est simple. Sur une passerelle Citrix, «/ vpn /» héberge la page de connexion pour les utilisateurs distants. L'URL n'est pas correctement nettoyée, donc quelque chose comme: /vpn/../vpns/portal/scripts/[scriptName].pl

ne nécessite pas d'authentification, mais exécute en fait le script Perl à l'emplacement donné. La possibilité d'interagir directement avec ces scripts en tant qu'utilisateur non authentifié serait un problème suffisant, mais le newbm.pl le script permet en fait d'écrire des données à des emplacements arbitraires. Entre la possibilité d'exécuter des scripts Perl et la possibilité d'écrire dans le système de fichiers, il est plutôt trivial d'installer un shell distant en utilisant cette vulnérabilité.

Auto-stop Ransomware sur clés USB

Try2cry est un nouveau ransomware, se propageant via des lecteurs flash USB. Autrefois, ce type de ver utilisait simplement la fonction d'exécution automatique de Windows pour infecter automatiquement une machine lorsqu'il était branché. Sur les machines modernes, avec l'exécution automatique désactivée, les auteurs de logiciels malveillants doivent être plus créatifs pour diffuser leurs produits. Try2cry copie son programme d'installation à la racine du lecteur flash, marque tous les fichiers et dossiers existants comme masqués, puis crée des raccourcis à la place des fichiers masqués. Ces raccourcis renvoient tous au programme d'installation de logiciels malveillants, et nous espérons qu'un utilisateur ne remarquera pas le changement et installe le logiciel malveillant lorsqu'il essaie d'accéder aux fichiers.

Apparemment, ce ransomware n'est guère plus qu'un copier-coller du ransomware open source «stupide», disponible sur GitHub. La bonne nouvelle est qu'il peut être décrypté avec les outils disponibles.

MongoDB Ransomware

Oui, encore plus de ransomwares. Les bases de données MongoDB sont très populaires, avec quelque 45 000 d'entre elles exposées à Internet. Le problème est que la moitié d'entre eux sont configurés sans mot de passe. Tout le monde peut s'y connecter, lire et écrire. Oui, beaucoup d'entre eux sont probablement destinés uniquement aux tests, mais inévitablement, certains d'entre eux ont également des données en direct. Apparemment, un aspirant blackhat a réalisé que toutes ces bases de données non protégées étaient une cible de choix et a lancé une attaque.

Chaque base de données est effacée et une note de rançongiciel est ajoutée en place. En ce qui concerne les ransomwares, le BTC .015 demandé est plutôt bon marché, évalué à 138 $ au moment de la rédaction. La pire partie de l'attaque pourrait être la menace attachée: divulguer les données volées, puis déposer une plainte RGPD au nom de ceux dont les données ont été exposées.

Et enfin…

Samba a récemment annoncé une paire de bugs. Jusqu'à présent, il semble qu'aucun de ces problèmes ne puisse conduire à RCE, mais ils sont plutôt simples à lancer des attaques DoS. Une attaque est une variante de la bombe zip, où un nom DNS composé de 8127 points fait perdre la raison à Samba. L'autre faille est un softlock de code déclenché par un paquet UDP avec un message de données vide. Les deux failles nécessitent que NetBIOS soit activé dans une configuration Active Directory.

Le logiciel de base de données Db2 d'IBM a un débordement de tampon exploitable à distance. Ce problème peut entraîner l'exécution de code arbitraire en tant que root, alors assurez-vous d'obtenir ce correctif si vous exécutez big blue.

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici