🪲 Semaine 18 — CVE les plus discutées

Dans le noyau Linux, la vulnérabilité suivante a été corrigée :

• Produit concerné : noyau Linux
• Vulnérabilité : crypto : algif_aead - Retour à une opération hors-place.

Détails :

Cette correction revient principalement sur le commit 72548b093ee3, à l'exception de la copie des données associées (AD).

Explication :

• Opération hors-place : Il s'agit d'une méthode où les données sont copiées dans un nouvel emplacement plutôt que modifiées directement.
• Dans le cas d'algif_aead, il n'est pas bénéfique d'opérer en place, car la source et la destination proviennent de mappages différents.
• La décision de simplifier le processus et d'éliminer la complexité ajoutée pour l'opération en place permet une copie directe des données associées.

Cette correction vise à améliorer la sécurité et l'efficacité en rendant le code plus simple et plus facile à gérer.

Vulnérabilité de cPanel et WHM

Les versions de cPanel et WHM après la version 11.40 présentent une vulnérabilité d’écart d’authentification dans le processus de connexion. Cette faille permet à des attaquants distants non authentifiés d’accéder de manière non autorisée au panneau de contrôle.

Détails de la vulnérabilité :

• Vulnérabilité : Écart d'authentification
• Produits concernés : cPanel et WHM (Web Hosting Manager)
• Versions affectées : Toutes les versions après 11.40
• Impact : Accès non autorisé au panneau de contrôle par des attaquants externes

Acronymes utiles :

• RCE : Remote Code Execution (exécution de code à distance)
• SSRF : Server-Side Request Forgery (forçage de requêtes côté serveur)
• XSS : Cross-Site Scripting (script inter-sites)

Cette vulnérabilité souligne l'importance d'appliquer des mises à jour de sécurité et de vérifier les configurations pour éviter tout accès non autorisé.

Une vulnérabilité due à une mauvaise neutralisation d'éléments spéciaux a été identifiée dans GitHub Enterprise Server. Cette faille permet à un attaquant possédant un accès en écriture à un dépôt d'atteindre l'exécution de code à distance (Remote Code Execution - RCE) sur l'instance.

• Lors d'une opération de git push, les valeurs d'options fournies par l'utilisateur n'étaient pas correctement assainies avant d'être incluses dans les en-têtes des services internes.
• Le format de l'en-tête interne utilisait un caractère délimiteur qui pouvait également apparaître dans l'entrée de l'utilisateur. Cela a permis à un attaquant d'injecter des champs de métadonnées supplémentaires via des valeurs d'options de push falsifiées.

Cette vulnérabilité a été signalée via le programme de bug bounty de GitHub et a été corrigée dans les versions de GitHub Enterprise Server suivantes : - 3.14.25 - 3.15.20 - 3.16.16 - 3.17.13 - 3.18.7 - 3.19.4

Il est donc recommandé de mettre à jour vers ces versions pour éviter toute exploitation de cette vulnérabilité.

Résumé de la vulnérabilité

Échec du mécanisme de protection dans Windows Shell permet à un attaquant non autorisé d'effectuer du spoofing sur un réseau.

Détails

• Windows Shell : Interface de ligne de commande intégrée aux systèmes d'exploitation Windows, permettant aux utilisateurs d'exécuter des commandes.
• Spoofing : Technique utilisée par des attaquants pour masquer leur identité ou imiter une autre personne afin d'accéder à des informations ou ressources.

Risques

• Permet aux attaquants de se faire passer pour un utilisateur ou un système légitime, ce qui peut conduire à :
• Vol de données
• Accès non autorisé à des systèmes

Protocoles de protection

1. Vérification des configurations : S'assurer que toutes les réglages de sécurité sont appliqués.
2. Mises à jour : Installer les dernières mises à jour de sécurité fournies par Microsoft.

Références CMS

• Suivre les annonces de sécurité relatives à la CVE concernée pour rester informé des correctement sur les risques et les mises à jour.

Conclusion

Il est crucial de mettre en place des mesures de sécurité robustes pour protéger les systèmes contre ce type de vulnérabilité afin de prévenir d'éventuels compromissions sur le réseau.

LeRobot version 0.5.1 présente une vulnérabilité de désérialisation non sécurisée dans le pipeline d'inférence asynchrone. Voici les détails :

• Vulnérabilité : Utilisation de pickle.loads() pour désérialiser des données reçues sur des canaux gRPC non authentifiés et sans TLS (Transport Layer Security).
• Composants affectés : Serveur de politiques et client robot.

Impact

• Un attaquant qui peut accéder au réseau sans authentification peut exécuter du code arbitraire sur le serveur ou le client.

Cibles de l'attaque

• L'attaquant envoie un payload (charge utile) malveillant dans les appels gRPC suivants :
• SendPolicyInstructions
• SendObservations
• GetActions

Termes techniques :

• RCE (Remote Code Execution) : Exécution de code à distance, où un attaquant peut exécuter des commandes arbitraires sur le système cible.
• gRPC : Un système d'appel de procédure à distance qui permet aux applications de communiquer entre elles de manière efficace.
• Pickle : Un module Python utilisé pour sérialiser et désérialiser des objets.

Il est crucial de corriger cette vulnérabilité pour protéger les systèmes concernés.

Le module mod_sql dans ProFTPD avant la version 1.3.9a présente une vulnérabilité permettant à des attaquants distants d'exécuter du code arbitraire. Cela se produit dans les situations où les requêtes de type USER sont enregistrées avec une expansion, comme %U, et où la base de données SQL autorise des commandes (par exemple, COPY TO PROGRAM).

Explications des termes :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant de lancer des commandes sur un serveur vulnérable.
• USER : Une commande FTP utilisée pour spécifier le nom d'utilisateur d'une session.

Points clés :

• Cette vulnérabilité peut entraîner une compromission du serveur.
• Les attaquants peuvent exploiter la manière dont ProFTPD gère les identifiants lors des connexions.
• Il est recommandé de mettre à jour ProFTPD vers la version 1.3.9a ou ultérieure pour corriger cette faille.

En résumé, il est essentiel de maintenir les logiciels à jour pour réduire les risques liés à des vulnérabilités comme celle-ci.

Le routeur D-Link DIR-645 (version Ax) avec le firmware 1.04b12 et les versions antérieures présente une vulnérabilité. Voici les détails :

• Vulnérabilité : Les attaquants distants peuvent exécuter des commandes arbitraires.
• Méthode d'attaque : Cela se produit via une action GetDeviceSettings dans l'interface HNAP (Home Network Administration Protocol).

Explications des termes :

• RCE (Remote Code Execution) : Type de vulnérabilité qui permet à un attaquant d'exécuter du code malveillant sur un système distant.
• HNAP (Home Network Administration Protocol) : Protocole utilisé pour gérer et configurer les appareils réseau de manière sécurisée.

En résumé, cette vulnérabilité permet à des personnes malintentionnées de prendre le contrôle du routeur en exploitant une faille dans sa configuration, ce qui pourrait compromettre la sécurité du réseau associé. Il est fortement recommandé de mettre à jour le firmware pour corriger cette vulnérabilité.

Le routeur ZyXEL P660HN-T1A v1 sous TCLinux Fw $7.3.15.0 v001 / 3.40(ULM.0)b31, distribué par TrueOnline, présente une vulnérabilité d'injection de commandes dans la fonction de transfert du journal système à distance. Voici les détails :

• Vulnérabilité : Injection de commandes
• Accès : Un utilisateur non authentifié peut y accéder.
• Page concernée : ViewLog.asp
• Paramètre exploitable : remote_host

Explications des termes :

• Injection de commandes : Type de vulnérabilité permettant à un attaquant d'exécuter des commandes sur le système vulnérable.
• Journal système à distance : Fonction qui envoie les journaux d'activité du routeur vers un serveur externe.

Cette faille pourrait permettre à un attaquant d'exécuter des commandes malveillantes à distance, compromettant la sécurité du routeur et possiblement du réseau associé.

Vulnérabilité dans ConnectWise ScreenConnect 23.9.7 et versions antérieures

• Produit concerné : ConnectWise ScreenConnect
• Version affectée : 23.9.7 et antérieures
• Type de vulnérabilité : Path traversal (traversée de chemin)

Explication de la vulnérabilité :

• La traversée de chemin est une technique que les attaquants utilisent pour accéder à des fichiers et répertoires sur un serveur qu'ils ne devraient pas pouvoir consulter.
• Grâce à cette vulnérabilité, un attaquant pourrait :
• Exécuter du code à distance (RCE) : Cela signifie qu'un attaquant peut exécuter des commandes sur le serveur cible, pouvant mener à des prises de contrôle complètes.
• Accéder à des données confidentielles ou à des systèmes critiques, ce qui implique un risque sérieux pour la sécurité des informations.

Risques :

• Impact : Les conséquences peuvent être graves, notamment des fuites de données ou des interruptions de service.
• Recommandation : Mettre à jour vers une version sécurisée de ConnectWise ScreenConnect dès que possible pour atténuer ces risques.

Une vulnérabilité a été découverte sur les routeurs domestiques Dasan GPON. Voici les détails :

• Problème : Injection de commandes (Command Injection).
• Impact : Cela peut se produire via le paramètre dest_host dans une requête diag_action=ping à l'URI GponForm/diag_Form.
• Mécanisme : Le routeur enregistre les résultats du ping dans le répertoire /tmp et les transmet à l'utilisateur lorsqu'il revisite /diag.html.
• Conséquence : Il est relativement facile d'exécuter des commandes et de récupérer leurs résultats.

Termes importants

• Command Injection (Injection de commandes) : Une méthode d'attaque permettant à un hacker d'exécuter des commandes arbitraires sur un serveur.
• URI (Uniform Resource Identifier) : L'adresse qui identifie une ressource sur le web.
• /tmp : Répertoire temporaire sur les systèmes Unix où les fichiers sont souvent stockés temporairement.

Remarque

Cette vulnérabilité expose les utilisateurs à des risques importants, car elle permet l'exécution de commandes indirectement via des requêtes HTTP. Il est crucial que les utilisateurs mettent à jour leurs appareils pour se protéger.

Vulnérabilité NETGEAR DGN1000

Le NETGEAR DGN1000 avant la version 1.1.00.48 présente une vulnérabilité de contournement d'authentification. Voici les détails :

• Un attaquant distant et non authentifié peut exécuter des commandes arbitraires du système d'exploitation en tant que root.
• Cela se produit en envoyant des requêtes HTTP spécialement conçues à l'endpoint setup.cgi.
• Cette vulnérabilité est active depuis au moins 2017 et a été exploitée dans la nature, notamment par la Shadowserver Foundation le 6 février 2025 UTC.

Explications supplémentaires

• Contournement d'authentification : Stratégie utilisée par des attaquants pour accéder à des systèmes protégés sans les informations d'identification nécessaires.
• Attaquant distant : Quelqu'un qui attaque depuis l'extérieur du réseau ciblé, sans accès physique.
• Système d'exploitation : Logiciel qui gère le matériel d'un ordinateur et exécute des applications.

Assurez-vous de mettre à jour votre appareil pour éviter ce type de vulnérabilité.