Un code de preuve de concept (PoC) démontrant une vulnérabilité de contournement de signature numérique récemment révélée dans Java a été partagé en ligne.
La faille de haute gravité en question, CVE-2022-21449 (score CVSS : 7,5), impacte les versions suivantes de Java SE et Oracle GraalVM Enterprise Edition –
Oracle Java SE : 7u331, 8u321, 11.0.14, 17.0.2, 18
Oracle GraalVM Enterprise Edition : 20.3.5, 21.3.1, 22.0.0.2
Le problème réside dans l’implémentation par Java de l’algorithme ECDSA (Elliptic Curve Digital Signature Algorithm), un mécanisme cryptographique permettant de signer numériquement des messages et des données pour vérifier l’authenticité et l’intégrité du contenu.
En un mot, la bévue cryptographique – surnommée Psychic Signatures en Java – permet de présenter une signature totalement vierge, qui serait toujours perçue comme valide par l’implémentation vulnérable.
L’exploitation réussie de la faille pourrait permettre à un attaquant de falsifier des signatures et de contourner les mesures d’authentification mises en place.
Le PoC, publié par le chercheur en sécurité Khaled Nassar, implique un client vulnérable et un serveur TLS malveillant, dont le premier accepte une signature invalide du serveur, permettant ainsi à la poignée de main TLS de se poursuivre sans entrave.
« Il est difficile d’exagérer la gravité de ce bogue », a déclaré Neil Madden, chercheur à ForgeRock, qui a découvert et signalé la faille le 11 novembre 2021.
« Si vous utilisez des signatures ECDSA pour l’un de ces mécanismes de sécurité, un attaquant peut les contourner de manière triviale et complète si votre serveur exécute une version Java 15, 16, 17 ou 18. »
Le problème a depuis été résolu par Oracle dans le cadre de sa mise à jour trimestrielle du correctif critique (CPU) d’avril 2022 publiée le 19 avril 2022.
À la lumière de la publication du PoC, il est recommandé aux organisations qui utilisent Java 15, Java 16, Java 17 ou Java 18 dans leurs environnements de hiérarchiser les correctifs pour atténuer les tentatives d’exploitation actives.