​CISA et le FBI ont exhorté aujourd’hui les éditeurs de logiciels à revoir leurs produits et à éliminer les vulnérabilités de sécurité de traversée de chemin avant l’expédition.

Les attaquants peuvent exploiter les vulnérabilités de traversée de chemin (également appelées traversée de répertoire) pour créer ou écraser des fichiers critiques utilisés pour exécuter du code ou contourner des mécanismes de sécurité tels que l’authentification.

De telles failles de sécurité peuvent également permettre aux acteurs de la menace d’accéder à des données sensibles, telles que des informations d’identification qui peuvent ensuite être utilisées pour forcer brutalement des comptes déjà existants à violer les systèmes ciblés.

Un autre scénario possible consiste à supprimer ou à bloquer l’accès aux systèmes vulnérables en écrasant, en supprimant ou en corrompant les fichiers critiques utilisés pour l’authentification (ce qui verrouillerait tous les utilisateurs).

« Les exploits de traversée d’annuaire réussissent parce que les fabricants de technologies ne parviennent pas à traiter le contenu fourni par l’utilisateur comme potentiellement malveillant, ne protégeant donc pas adéquatement leurs clients », ont déclaré CISA et le FBI [PDF].

« Des vulnérabilités telles que la traversée de répertoires ont été qualifiées d’ « impardonnables » depuis au moins 2007. Malgré cette découverte, les vulnérabilités de traversée d’annuaire (telles que CWE-22 et CWE-23) sont toujours des classes de vulnérabilités répandues. »

Motivé par une exploitation récente dans des attaques d’infrastructures critiques
Cette alerte conjointe fait suite à « de récentes campagnes d’acteurs de la menace très médiatisées qui ont exploité les vulnérabilités de traversée d’annuaire dans les logiciels (par exemple, CVE-2024 – 1708, CVE-2024-20345) pour compromettre les utilisateurs des secteurs des infrastructures critiques ayant un impact logiciel, y compris le Secteur de la santé et de la santé publique », ont déclaré les deux agences fédérales.

Par exemple, le bogue de traversée de chemin ScreenConnect CVE-2024-1708 a été enchaîné avec la faille de contournement d’authentification CVE-2024-1709 dans les attaques de ransomware Black Basta et Bl00dy poussant les balises CobaltStrike et les variantes de LockBit buhtiRansom.

CISA et le FBI ont conseillé aux développeurs de logiciels de mettre en œuvre des » mesures d’atténuation bien connues et efficaces  » qui empêcheraient les vulnérabilités de traversée de répertoires, notamment:

  • Générer un identifiant aléatoire pour chaque fichier et stocker les métadonnées associées séparément (par exemple, dans une base de données) plutôt que d’utiliser l’entrée utilisateur lors de la dénomination des fichiers.
  • Limiter strictement les types de caractères pouvant être fournis dans les noms de fichiers, par exemple en les limitant aux caractères alphanumériques.
  • S’assurer que les fichiers téléchargés n’ont pas d’autorisations exécutables.

Les vulnérabilités Path ont pris la huitième place dans le top 25 des faiblesses logicielles les plus dangereuses de MITRE, dépassées par les failles d’écriture hors limites, de script intersite, d’injection SQL, d’utilisation après libération, d’injection de commandes du système d’exploitation et de lecture hors limites.

En mars, la CISA et le FBI ont émis une autre alerte « Sécurisée dès la conception » exhortant les dirigeants des entreprises de fabrication de logiciels à mettre en œuvre des mesures d’atténuation pour éviter les vulnérabilités de sécurité par injection SQL (SQLi).

Les vulnérabilités SQLi se classaient au troisième rang des 25 faiblesses les plus dangereuses affectant les logiciels de MITRE entre 2021 et 2022, surmontées uniquement par les écritures hors limites et les scripts intersites.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *