• 3 Votes
    1 Messages
    34 Vues

    Une nouvelle faille de sécurité critique a été découverte dans une bibliothèque très populaire puisque présente dans de nombreuses distributions Linux : GNUC C (glibc). En l’exploitant, un attaquant peut obtenir un accès root sur la machine. Voici ce qu’il faut savoir.

    Les chercheurs en sécurité de chez Qualys ont mis en ligne un nouveau rapport dans lequel ils évoquent la découverte de 4 vulnérabilités dans la bibliothèque GNU C.

    Celle qui est particulièrement dangereuse, c’est la faille de sécurité associée à la référence CVE-2023-6246 est présente dans la fonction “__vsyslog_internal()” de la bibliothèque glibc. Cette fonction est très utilisée par les distributions Linux par l’intermédiaire de syslog et vsyslog afin d’écrire des messages dans les journaux.

    Cette vulnérabilité de type “heap-based buffer overflow” permet une élévation de privilèges sur une machine locale sur laquelle un attaquant à déjà accès avec un compte utilisateur standard. Ainsi, il peut élever ses privilèges pour devenir root (“super administrateur”) sur cette machine. De nombreuses distributions populaires sont vulnérables, comme le précise le rapport de Qualys :

    Les principales distributions Linux telles que Debian (versions 12 et 13), Ubuntu (23.04 et 23.10) et Fedora (37 à 39) sont confirmées comme étant vulnérables.

    Pour Debian, rendez-vous sur cette page pour obtenir la liste des versions où cette vulnérabilité a été corrigée.

    Il est à noter que cette vulnérabilité a été introduite dans la bibliothèque GNU C en août 2022, au sein de glibc 2.37. Par ailleurs, elle a été accidentellement intégrée dans la version 2.36 de glibc lorsque les développeurs ont intégré un correctif pour une autre vulnérabilité : CVE-2022-39046. Par ailleurs, la fonction “qsort()” de glibc contient une vulnérabilité qui affecte toutes les versions de la 1.04 (septembre 1992) à la version 2.38, qui est la plus récente.

    L’occasion pour Qualys de rappeler l’importance de la sécurité des bibliothèques populaires :

    Ces failles soulignent le besoin critique de mesures de sécurité strictes dans le développement de logiciels, en particulier pour les bibliothèques de base largement utilisées dans de nombreux systèmes et applications.

    Ces dernières années, Qualys a fait la découverte de plusieurs failles de sécurité importantes au sein de Linux, notamment Looney Tunables et PwnKit.

    – Sources

    https://www.it-connect.fr/linux-acces-root-faille-critique-glibc-cve-2023-6246/

    https://www.bleepingcomputer.com/news/security/new-linux-glibc-flaw-lets-attackers-get-root-on-major-distros/

  • 1 Votes
    1 Messages
    59 Vues

    Les chercheurs en sécurité de Google sont tombé sur une vulnérabilité qui avait déjà été signalée en 2016 sans être corrigée. Quelques années plus tard, elle s’est retrouvée dans l’arsenal d’un éditeur de logiciels espion pour pirater des smartphones Android.

    La chasse aux failles zero-day n’est pas un long fleuve tranquille. Parfois, il y a des choses qui se perdent dans les méandres. Le dernier exemple en date vient d’être livré par les chercheurs en sécurité de Google. À l’occasion de la conférence Black Hat 2022, ces derniers ont présenté une palanquée de failles zero-day utilisées par des éditeurs de logiciels de surveillance dans le but de pirater des terminaux Android.

    L’une de ces failles (CVE-2021-0920) est particulièrement remarquable, car elle a fait partie d’un enchaînement de vulnérabilités très sophistiqué qui permettait d’avoir un contrôle à distance du terminal avec les privilèges d’administrateur. Cette faille se trouvait dans le module « kernel garbage collection » et été patchée en septembre 2021. Mais des recherches presque archéologiques ont montré qu’elle était déjà connue depuis au moins 2016.

    Une occasion manquée

    Comme le relate Gizmodo, Google a pu retrouver des échanges à ce sujet dans la liste de diffusion Linux Kernel Mailing List. Un patch avait même été proposé, mais il a été refusé faute d’accord général sur la question. L’un des développeurs du noyau de Linux écrivait ainsi :

    « Pourquoi est-ce que je devrais appliquer un patch qui n’est qu’un RFC [Request For Comment, un document qui décrit une technologie en vue d’une adoption future, ndlr], qui ne dispose pas d’un message de commit convenable, où il manque une véritable signature, et qui ne bénéficie pas de validations ou de retours de la part de développeurs connus ?».

    Après cela, tout le monde a oublié, sauf un éditeur de logiciels espions qui l’a intégré ni vu ni connu dans son produit. Il a fallu attendre que les attaques qui en ont découlé soient analysées par les chercheurs de Google pour que cette faille revienne sur le tapis et soit enfin colmatée. Un processus finalement assez tortueux qui laisse aux pirates trop de marges de manœuvre.

    Une trentaine d’acteurs suivis à la culotte

    Chez Google, le risque provenant de ces éditeurs est devenu majeur. « Auparavant, nous n’avions qu’à nous concentrer sur des menaces comme celles venant de la Chine, de la Russie ou de la Corée du Nord. Désormais, notre groupe d’analyse de la menace (Threat Analysis Group, TAG) dispose d’une équipe dédiée aux fournisseurs et aux opérateurs commerciaux (…) TAG suit activement plus de 30 fournisseurs avec différents niveaux de sophistication et d’exposition publique, vendant des exploits ou des capacités de surveillance à des acteurs étatiques », a déclaré il y a quelques semaines Shane Huntley, directrice du TAG, auprès de la Chambre des représentants des États-Unis. Et ce suivi est d’autant plus difficile que les techniques utilisées par ces acteurs sont de haut niveau, comparable à celles utilisées par les États.

    Source : Gizmodo - 01.net