🪲 Semaine 12 — CVE les plus discutées

Le routeur D-Link DIR-645 (version Rev. Ax) avec le firmware 1.04b12 et les versions antérieures présente une vulnérabilité. Les attaquants distants peuvent exécuter des commandes arbitraires grâce à une action nommée GetDeviceSettings dans l'interface HNAP (Home Network Administration Protocol).

Explications des termes :

• RCE : Remote Code Execution (Exécution de code à distance) — Une vulnérabilité permettant à un attaquant d'exécuter du code malveillant sur un système distant.
• HNAP : Home Network Administration Protocol — Protocole utilisé pour gérer les appareils réseau comme les routeurs.

Détails :

• Vulnérabilité : Exécution de commandes arbitraires.
• Cible : Routeur D-Link DIR-645.
• Firmware vulnérable : 1.04b12 et versions antérieures.
• Méthode d'attaque : Action GetDeviceSettings via l'interface HNAP.

Actions recommandées :

• Mettre à jour le firmware vers une version sécurisée.
• Examiner la sécurité des dispositifs exposés à Internet.

Vulnérabilité NETGEAR DGN1000

Le modèle NETGEAR DGN1000 avant la version 1.1.00.48 présente une vulnérabilité de contournement d'authentification. Voici les éléments clés à retenir :

• Type de vulnérabilité : Contournement d'authentification
• Impact : Un attaquant distant et non authentifié peut exécuter des commandes arbitraires du système d'exploitation en tant que root.
• Méthode d'exploitation : L'attaquant doit envoyer des requêtes HTTP conçues à l'adresse setup.cgi.
• Historique d'exploitation : Cette vulnérabilité a été observée en exploitation active depuis au moins 2017, avec une mention spécifique de l'organisation Shadowserver Foundation qui l’a exploitée le 6 février 2025 UTC.

Concepts utiles :

• Authentication bypass (contournement d'authentification) : Permet à un attaquant d'accéder à des ressources sans fournir les identifiants requis.
• Remote Code Execution (RCE) : Exécution de code à distance, permettant à l’attaquant de prendre le contrôle d'un système.
• HTTP : Protocole de communication utilisé sur Internet.

Remarque : Il est crucial de mettre à jour votre appareil pour éviter de telles vulnérabilités.

Traduction et explication

Une vulnérabilité de contrôle d'accès inapproprié dans SQL Server permet à un attaquant autorisé d'élever ses privilèges à travers un réseau. Voici quelques précisions :

• SQL Server : Un système de gestion de base de données développé par Microsoft.
• Contrôle d'accès : Mécanisme qui détermine qui peut accéder ou modifier des ressources.

Implications de la vulnérabilité :

• Élévation de privilèges : Cela signifie qu'un utilisateur ayant certains droits peut acquérir des droits supplémentaires, ce qui lui permet d'accéder à des données ou des fonctions qui ne devraient pas lui être accessibles.
• Attaquant autorisé : Cela implique que l'attaquant a déjà accès au système, mais exploite une faille pour obtenir un contrôle accru.

Terminologie :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant d'exécuter des commandes sur un serveur distant.
• SSRF (Server-Side Request Forgery) : Une attaque qui permet à un attaquant d'exploiter un serveur pour faire des requêtes à d'autres serveurs.
• XSS (Cross-Site Scripting) : Une faille qui permet d'injecter des scripts malveillants dans des pages web visualisées par d'autres utilisateurs.

Cette vulnérabilité souligne l'importance de mettre en place des mesures de sécurité robustes pour protéger les systèmes de bases de données.

Voici la traduction et l'explication de la vulnérabilité détectée :

• Produit concerné : Routeur ZyXEL P660HN-T1A v1 avec le firmware TCLinux $7.3.15.0 v001 / 3.40(ULM.0)b31.
• Fournisseur : Distribué par TrueOnline.

Vulnérabilité :

• Type de vulnérabilité : Injection de commande.
• Injection de commande : Permet à un attaquant d'exécuter des commandes sur le système à distance.

Détails :

• Fonctionnalité affectée : Fonction de transfert de journaux système à distance.
• Accessibilité : Cette vulnérabilité peut être exploitée par un utilisateur non authentifié, ce qui signifie qu'aucune connexion n'est requise pour accéder à la vulnérabilité.
• Localisation de la faille : Sur la page ViewLog.asp, à travers le paramètre remote_host.

Risques :

• Un attaquant pourrait exploiter cette vulnérabilité pour exécuter des commandes malveillantes sur le routeur, compromettant ainsi la sécurité du réseau.

Références :

• CVE : Bien qu'aucun CVE spécifique ne soit mentionné, il est crucial de suivre les mises à jour de sécurité liées à ce produit.

Enfin, il est recommandé de mettre à jour le firmware du routeur et de surveiller les annonces de sécurité de ZyXEL.

Une vulnérabilité d'injection de commande OS existe dans des DVR personnalisés fabriqués par TVT, touchant un service HTTP spécifique nommé "Cross Web Server" qui écoute sur les ports TCP 81 et 82.

Détails de la vulnérabilité :

• Type : Injecter une commande OS (OS Command Injection).
• Impact : Un attaquant distant non authentifié peut injecter des commandes shell.
• Portées affectées : Les demandes envoyées à /language/[lang]/index.html.

Mécanisme d'attaque :

• Le serveur traite la requête en utilisant l'input [lang] de manière non sécurisée dans une commande d’extraction tar, sans échapper correctement les caractères.
• Cela permet à un attaquant d’exécuter des commandes arbitraires en tant que root.

Preuves d’exploitation :

• La Shadowserver Foundation a constaté des preuves d’exploitation le 2025-02-06 UTC.

Acronymes utiles :

• RCE (Remote Code Execution) : Exécution de code à distance.
• SSRF (Server-Side Request Forgery) : Détournement de requêtes côté serveur.
• XSS (Cross-Site Scripting) : Injection de scripts dans des pages web.

Cette vulnérabilité illustre l'importance de bien valider et filtrer les entrées utilisateur pour éviter des attaques potentielles.

Traduction et Explications

Une lecture hors limite (Out-of-bounds read) dans .NET permet à un attaquant non autorisé de noyer un service (Denial of Service, DoS) sur un réseau.

Explications des termes :

• .NET : Une plateforme de développement logiciel de Microsoft utilisée pour créer des applications web et de bureau.
• Lecture hors limite (Out-of-bounds read) : Ce type de vulnérabilité survient lorsqu'une application accède à une zone de mémoire qui n'est pas allouée à ses opérations. Cela peut entraîner une divulgation d'informations ou un crash du système.
• Denial of Service (DoS) : Une attaque qui vise à rendre un service indisponible pour ses utilisateurs légitimes, souvent en surchargeant le serveur.

Implications :

• Cette vulnérabilité peut être exploitée pour perturber le fonctionnement normal d'un service, le rendant inaccessible aux utilisateurs.
• Il est recommandé de mettre à jour les systèmes affectés pour corriger cette vulnérabilité et éviter les risques d'attaques.

Recommandations :

• Mettez à jour vos applications .NET régulièrement.
• Surveillez les journaux de votre serveur pour détecter des comportements suspects.

n8n est une plateforme d'automatisation de flux de travail open source. Les versions à partir de 0.211.0 jusqu'à 1.120.4, 1.121.1 et 1.122.0 contiennent une vulnérabilité critique d'Exécution de Code à Distance (RCE).

Détails de la vulnérabilité :

• Dans certaines conditions, les expressions fournies par des utilisateurs authentifiés lors de la configuration des flux de travail peuvent être évaluées dans un contexte d'exécution qui n'est pas suffisamment isolé.
• Un attaquant authentifié pourrait exploiter ce comportement pour exécuter du code arbitraire avec les privilèges du processus n8n.

Conséquences :

• Compromission totale de l'instance affectée.
• Accès non autorisé à des données sensibles.
• Modification de flux de travail et exécution d'opérations au niveau système.

Solutions :

• La vulnérabilité a été corrigée dans les versions 1.120.4, 1.121.1 et 1.122.0. Les utilisateurs sont fortement encouragés à effectuer une mise à jour vers une version corrigée qui protège mieux l’évaluation des expressions.

Mesures temporaires :

1. Limiter les permissions de création et d'édition des flux de travail à des utilisateurs entièrement fiables.
2. Déployer n8n dans un environnement renforcé avec des privilèges restreints au niveau du système d'exploitation et un accès réseau limité.

Ces solutions ne suppriment pas totalement le risque et doivent être considérées comme des mesures à court terme.

Une vulnérabilité a été découverte sur les routeurs domestiques Dasan GPON. Voici les détails :

• Injection de Commande (Command Injection) : Il s'agit d'une technique où un attaquant peut exécuter des commandes arbitraires sur un système.

• Paramètre affecté : Le problème survient via le paramètre dest_host dans une requête avec diag_action=ping à l'URI GponForm/diag_Form.

• Méthode d'exploitation :

• Le routeur enregistre les résultats de la commande ping dans le répertoire /tmp.
• Lorsqu'un utilisateur revisite la page /diag.html, ces résultats sont transmis à l'utilisateur.
• Cela permet à un attaquant d'exécuter des commandes et de récupérer leur sortie, facilitant ainsi la compromission du routeur.

Cette vulnérabilité peut mener à l'exécution de code à distance (RCE - Remote Code Execution) si elle est exploitée correctement. Les utilisateurs de cette technologie doivent être prudents et envisager de mettre à jour leurs dispositifs pour éviter les attaques potentielles.

Analyse de la vulnérabilité

• Type de vulnérabilité : Écriture hors limites (Out of Bounds Write)
• Produit concerné : Skia dans Google Chrome
• Version affectée : Avant la version 146.0.7680.75
• Gravité selon Chromium : Élevée

Détails Techniques

Une écriture hors limites se produit lorsqu'un programme tente d'écrire des données en dehors des limites allouées pour une zone mémoire. Dans ce cas, cette vulnérabilité permet à un attaquant distant d’accéder à la mémoire de manière non autorisée en utilisant une page HTML spécialement conçue. Cela pourrait potentiellement conduire à :

• Exécution de code à distance (RCE) : L'attaquant pourrait exécuter des commandes malveillantes sur le système affecté.

Implications de Sécurité

• Risque élevé : Cette vulnérabilité pourrait être exploitée pour compromettre la sécurité d'un utilisateur en manipulant la mémoire du navigateur.

Recommandations

• Mettre à jour Google Chrome à la version 146.0.7680.75 ou supérieure pour corriger cette vulnérabilité.

En résumé, cette vulnérabilité représente un danger significatif pour les utilisateurs de Chrome avant la version mentionnée, et il est crucial de passer à une version sécurisée.

Analyse de la vulnérabilité

Vulnérabilité : Utilisation après libération (Use after free)
Produit concerné : Composants du Spouleur d'Impression Windows

Description

Une vulnérabilité de type use after free dans les composants du Spouleur d'Impression de Windows permet à un attaquant, lorsqu'il a déjà un accès autorisé, d'exécuter du code à distance sur le réseau.

Qu'est-ce qu'une utilisation après libération ?

• C'est un type de vulnérabilité dans laquelle une application continue d'accéder à la mémoire d'un objet même après que cet objet a été libéré. Cela peut conduire à des comportements imprévus, comme l'exécution de code malveillant.

Risques associés

• Exécution de code à distance (RCE) : L'attaquant peut utiliser cette vulnérabilité pour lancer des commandes arbitraires sur le système cible.

Actions recommandées

• Assurez-vous que toutes les mises à jour de sécurité sont appliquées pour atténuer ce risque.
• Surveillez les réseaux pour détecter toute activité suspecte pouvant résulter de cette vulnérabilité.

Cette vulnérabilité souligne l'importance de maintenir des systèmes à jour et de surveiller activement les environnements réseau pour éviter les exploitations malveillantes.

Résumé des informations sensibles exposées dans le traitement des Windows Shell Link

• Problème : L'exposition d'informations sensibles dans le traitement des Windows Shell Link (fichiers .lnk) permet à un attaquant non autorisé de réaliser des attaques de spoofing sur un réseau.

• Attaquant non autorisé : Un individu qui n'a pas les autorisations nécessaires pour accéder ou manipuler les données sensibles.

Explications des termes :

• Spoofing : Technique permettant à un attaquant de se faire passer pour une autre entité afin d'accéder à des ressources ou d'obtenir des informations.

Impact :

Cette vulnérabilité pourrait permettre à un attaquant d'usurper l'identité d'un utilisateur ou d'un service et de tromper d'autres systèmes ou utilisateurs.

Conséquences possibles :

• Accès illégal à des données sensibles.
• Manipulation de communications sur le réseau.
• Usurpation de l'identité dans diverses applications.

Recommandations :

• Mettre à jour les systèmes Windows pour corriger cette vulnérabilité dès que possible.
• Sensibiliser les utilisateurs aux risques de clics sur des liens suspects ou non vérifiés.

Pour plus de détails, il est important de consulter la documentation officielle de Microsoft et d'appliquer les correctifs de sécurité recommandés.

Une vulnérabilité de remote code execution (RCE) pré-authentification existe dans les versions 19.0.0, 19.1.0, 19.1.1 et 19.2.0 des React Server Components, incluant les packages suivants :

• react-server-dom-parcel
• react-server-dom-turbopack
• react-server-dom-webpack

Détails de la vulnérabilité :

• RCE (exécution de code à distance) : Cela permet à un attaquant d'exécuter du code malveillant sur le serveur sans avoir besoin de s'authentifier.
• Le code vulnérable désérialise de manière non sécurisée des charges utiles (payloads) provenant des requêtes HTTP vers des points d'extrémité de Server Function.

Implications :

Cette vulnérabilité expose les systèmes utilisant ces versions à des attaques, car un attaquant pourrait manipuler des requêtes pour exécuter des commandes sur le serveur. Il est donc recommandé de mettre à jour vers des versions sécurisées de React Server Components dès que possible pour éviter tout risque.