Les chercheurs de Sonar se sont lancés dans OpenEMR, la solution Open Source Electronic Medical Record, et ils ont trouvé des problèmes. Le premier est un classique : le programme d’installation n’est pas supprimé par défaut, et un attaquant peut potentiellement y accéder. Et bien que ce ne soit pas aussi grave qu’un programme d’installation WordPress exposé, il existe une astuce astucieuse qui mène à l’accès aux données. Un attaquant peut parcourir les premières étapes du processus d’installation et spécifier un serveur SQL malveillant. Ensuite, en manipulant l’état du programme d’installation, n’importe quel fichier local peut être demandé et envoyé au serveur distant.
Il existe un ensemble distinct de problèmes qui peuvent conduire à l’exécution de code arbitraire. Cela commence par une attaque Cross Site Scripting (XSS) réfléchie. C’est un peu différent du problème XSS normal, où un utilisateur met JavaScript sur la page utilisateur, et chaque utilisateur qui visualise la page exécute le code. Dans ce cas, le bit malveillant est inclus en tant que paramètre dans une URL, et toute personne qui suit le lien exécute le code sans le savoir.
Et quel code un attaquant voudrait-il qu’un utilisateur authentifié exécute ? Un téléchargement de fichier, bien sûr. OpenEMR a une fonction permettant aux utilisateurs authentifiés de télécharger des fichiers avec des extensions arbitraires, même .php. Le dossier de téléchargement est inaccessible, il n’est donc pas exploitable par lui-même, mais il y a un autre problème, une inclusion de fichier PHP. Une partie du nom de fichier est arbitraire et est vulnérable à la traversée de chemin, mais le fichier doit se terminer par .plugin.php. Le peu de marge de manœuvre sur le nom du fichier des deux côtés permet une collision au milieu. Demandez à un utilisateur authentifié de télécharger le fichier PHP malveillant, puis accédez-y pour un profit instantané. Les correctifs sont disponibles depuis fin novembre, dans la version 7.0.0-patch-2.
Injection de chat Bing
Ou peut-être que c’est la liberté de l’IA. Ainsi, la trame de fond ici est que les différents robots de discussion AI sont construits avec des règles. Ne vous lancez pas dans des diatribes politiques, ne commettez pas de crimes et n’essayez certainement pas d’arnaquer les utilisateurs. L’une des astuces les plus amusantes que les utilisateurs intelligents ont découvertes est de dire à un chatbot d’imiter une personnalité sans aucune de ces règles. ChatGPT ne peut pas commenter les questions politiques brûlantes, mais lorsque vous parlez en tant que DAN, tout est permis.
Cela devient vraiment intéressant lorsque Bing Chat ingère un site Web qui a des invites ciblées. Il est trivial de mettre du texte sur une page Web lisible par machine et invisible pour l’utilisateur humain. Ce travail place des instructions pour l’assistant de chat dans ces données cachées et démontre un jailbreak qui rend Bing Chat malveillant. La démonstration amusante convainc l’IA de parler comme un pirate, puis oblige l’utilisateur à cliquer sur un lien arbitraire. La démo effrayante commence par affirmer que Bing Chat est en panne et que l’utilisateur parle à un véritable ingénieur Microsoft.
Détails de LastPass — Plex ?
La dernière fois que nous avons parlé de la violation de LastPass, nous avons dû faire des suppositions éclairées sur la façon dont les choses se sont déroulées. Il y a eu une autre publication de détails, et c’est quelque chose. Il s’avère que lors de l’une des attaques précédentes, une base de données chiffrée a été volée et que les attaquants ont choisi de cibler directement LastPass Engineers pour tenter de récupérer la clé de chiffrement.
Selon Ars Technica, le vecteur d’attaque était un serveur Plex géré par l’un de ces ingénieurs. Peut-être lié, à peu près au même moment, l’infrastructure Plex a également été violée, exposant les noms d’utilisateur et les mots de passe hachés. À partir de cet accès, les attaquants ont installé un enregistreur de frappe sur la machine personnelle du développeur et capturé le mot de passe principal de l’ingénieur. Cela permettait d’accéder aux clés de déchiffrement. Il y a un certain désaccord quant à savoir s’il s’agissait d’une vulnérabilité de 0 jour dans le logiciel Plex. Assurez-vous peut-être que votre serveur Plex n’est pas accessible à Internet, juste pour être sûr.
Il y a une autre mauvaise nouvelle, en particulier si vous utilisez le service LastPass Single Sign On (SSO). En effet, les secrets SSO sont générés à partir d’un XOR de deux clés, K1 et K2. K1 est un secret unique pour chaque utilisateur d’une organisation. K2 est le secret par utilisateur stocké par Lastpass. Et avec ce dernier hack, toute la base de données des secrets K2 a été exposée. Si K1 est toujours secret, tout va bien. Mais K1 n’est pas bien protégé et est facilement accessible par n’importe quel utilisateur de l’organisation. Aie.
Le Anneau Extraterrestre
Il s’avère que, tout comme un certain film d’horreur, il y a une vidéo que le simple fait de regarder cause la mort. Si vous êtes un téléphone Pixel, bien sûr. Et la « mort » est peut-être un peu exagérée. Bien que la vidéo en question cloue certainement l’ambiance. La lecture d’un clip YouTube spécifique d’Alien redémarrera instantanément tout téléphone Pixel moderne. Une mise à jour furtive semble avoir résolu le problème, mais il sera intéressant de voir si nous obtenons plus de détails sur cette histoire à l’avenir. Après tout, lorsque les données peuvent provoquer un plantage, elles peuvent souvent également entraîner l’exécution de code.
Dans la nature
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis tient à jour une liste de bogues connus pour être exploités activement, et cette liste vient d’ajouter récemment un ensemble d’encoches. CVE-2022-36537 est le plus récent, un problème dans le ZK Framework. C’est un framework AJAX utilisé dans de nombreux endroits, notamment le logiciel ConnectWise. Rejoindre le parti sont CVE-2022-47986, une faille dans IBM Aspera Faspex, une suite de transfert de fichiers, et CVE-2022-41223 et CVE-2022-40765, les deux problèmes dans le système téléphonique Mitel MiVoice Business.
Bits et octets
Il y a encore une autre attaque en cours contre le référentiel PyPI, mais celle-ci mélange un peu les choses en supprimant un exécutable Rust comme une étape dans une chaîne d’exploitation. L’autre élément nouveau est que cette attaque ne s’attaque pas aux fautes de frappe et aux fautes d’orthographe, mais semble être une attaque de confusion de dépendance réelle.
L’implémentation de référence du Trusted Platform Module 2.0 s’est avérée contenir des vulnérabilités particulièrement graves. Le problème est qu’un système d’exploitation démarré peut lire et écrire deux octets au-delà des données qui lui sont attribuées. Il n’est pas clair qu’il s’agisse de deux octets statiques, ce qui ne les rend pas particulièrement utiles dans le monde réel, ou si ces lectures peuvent être enchaînées, laissant lentement fuir de plus gros morceaux de données TPM internes.
Et enfin, encore une chose à surveiller, méfiez-vous des fausses applications d’authentification. Celui-ci a quatre ans, a une note de cinq étoiles et télécharge secrètement vos codes QR scannés sur Google Analytics, exposant votre clé d’authentification secrète. Yoiks.
Vous devez être prudent lorsque vous recherchez une application d’authentification. Cette application envoie les codes QR scannés au développeur #Google service d’analyse. Vous ne le manquerez pas. Il diffuse une campagne publicitaire sur le #Magasin d’applications#Confidentialité #La cyber-sécurité #2FA pic.twitter.com/huvAtilUnV
— Mysk 🇨🇦🇩🇪 (@mysk_co) 19 février 2023
