vulnérabilités d'exécution de code à distance

Threat Spotlight : Les vulnérabilités d'exécution de code à distance

Version imprimable, PDF et e-mail

Toute personne en mesure d'accéder à un point de terminaison utilisant une version vulnérable d'un logiciel peut exécuter des commandes arbitraires à l'aide d'une requête HTTP, sans en-tête d'autorisation. La réponse normale à une telle requête serait en principe une page de réponse de type 401 « Unauthorized ». En revanche, l'utilisateur peut exécuter des commandes avec des droits root. De telles menaces ont déjà été observées pendant l'attaque contre Equifax de 2017.

Deux vulnérabilités ont été découvertes récemment ; elles forment la dernière évolution de ce type d'attaques. Il s'agit de la vulnérabilité par injection OGNL dans Confluence de l'éditeur Atlassian, et d'une vulnérabilité qui touche l'Open Management Infrastructure (OMI) d'Azure. Les spécialistes de chez Barracuda ont analysé les attaques tentant de tirer profit de ces vulnérabilités pendant une période de 45 jours en août-septembre ; ils ont découvert des pics d'attaques provenant de plus de 500 adresses IP hostiles distinctes.

Nous vous proposons une analyse approfondie de ces vulnérabilités, des tendances repérées en matière d'attaques et des solutions à votre disposition pour mieux vous protéger contre ce type d'attaques.

Menaces particulièrement importantes

Vulnérabilités de type exécution de code à distance (remote code execution, ou RCE) RCE est un terme utilisé pour décrire l'exécution de code arbitraire sur un système informatique alors que l'acteur hostile ne dispose pas d'un accès direct à la console. Tout se passe comme si le pirate était physiquement en face de la machine pour en prendre le contrôle total.

Les détails

La vulnérabilité par injection OGNL dans Confluence d'Atlassian a été initialement publiée par l'éditeur le 25 août 2021. Elle fut rapidement ajoutée à la National Vulnerability Database (CVE-2021-26084). Cette vulnérabilité permet à un acteur hostile d'effectuer une requête de type « POST » à l'aide du moteur de modèles de Confluence, sans en-tête d'autorisation. Le pirate se retrouve doté d'un accès « root » à la machine. Pour ce faire, le pirate utilise les paramètres « queryString » et « linkCreation » pour injecter du code Java.

Atlassian a ainsi annoncé que « Toutes les versions de Confluence Server et Data Center antérieures aux versions corrigées sont touchées par cette vulnérabilité. »

Une analyse des données récoltées de la fin août à la fin septembre a permis aux experts de Barracuda de découvrir que les attaques exploitant la vulnérabilité de Confluence ont connu une croissance exponentielle avant de se maintenir à un niveau élevé, de nombreux utilisateurs de Confluence utilisant toujours une version vulnérable du logiciel.

Vulnérabilité Confluence

Azure a publié la CVE-2021-38647 le 15 septembre 2021. Cette vulnérabilité touche l'Open Management Infrastructure (OMI) d'Azure. Azure OMI est un agent logiciel préinstallé et déployé de manière silencieuse sur les environnements cloud. L'installation silencieuse de l'agent place les clients Azure en situation de risque tant qu'ils ne mettent pas leurs systèmes à jour avec la dernière version d'OMI.

Les pirates ciblent ces systèmes en envoyant un message HTTPS spécifique à l'un des ports qui écoute le trafic OMI (ports 1270/5985/5986), lequel lui donne un accès initial à la machine. De là, les commandes envoyées par l'acteur hostile seront exécutées par le service SCXcore, ce qui permet au pirate d'exploiter les vulnérabilités. L'attaquant peut ensuite transmettre des commandes à la machine sans en-tête d'autorisation ; le serveur OMI les traite comme provenant d'une source de confiance et donne un accès administrateur au système.

Microsoft indique sur son blog que « La commande ExecuteShellCommand RunAsProvider exécutera toute commande UNIX/Linux avec le shell /bin/sh. »

En observant les données des systèmes de Barracuda à partir de la mi-septembre, les chercheurs de chez Barracuda ont observé une nette augmentation du nombre d'attaques visant à exploiter cette vulnérabilité. Après le premier pic du 18 septembre, le nombre de tentatives a connu une forte décrue, suivie de nouveaux pics avant de trouver progressivement un certain équilibre.

Vulnérabilité Azure OMI

Pendant l'analyse des attaques effectuées par Barracuda sur une période de 45 jours en août-septembre, 550 adresses IP hostiles distinctes ont été détectées comme cherchant à exploiter la vulnérabilité dans Confluence d'Atlassian et 542 ont tenté d'exploiter la vulnérabilité d'Azure OMI.

Derrière chaque adresse IP se trouvaient plusieurs pirates, si bien que le nombre d'attaques est significativement plus important que le nombre d'IP. Les spécialistes ont pu découvrir ce fait en analysant l'empreinte numérique des clients utilisés et à l'aide d'autres techniques.

vulnérabilités d'exécution de code à distance

Comme on peut le voir sur la carte de fréquentation ci-dessus, la plupart des adresses IP de pirates proviennent des États-Unis, Alaska compris. Cela est probablement dû au fait que la plupart des fermes de serveurs se trouvent dans cette zone. Les attaques proviennent également de pays tels que la Russie, le Royaume-Uni, la Pologne et l'Inde. Les pirates du monde entier tentent d'exploiter ces vulnérabilités ; les entreprises se doivent donc d'avoir un coup d'avance pour protéger leurs applications Web.

Protéger vos applications Web contre ces vulnérabilités

Compte tenu du nombre croissant de vulnérabilités découvertes dans les applications Web, il devient de plus en plus complexe de se protéger contre les attaques. Cependant, des solutions tout-en-un existent désormais pour protéger vos applications Web contre toute exploitation hostile causée par ces vulnérabilités. Les solutions de type WAF/WAF-as-a-Service, aussi appelées services de protection des API et des applications Web (Web Application and API Protection, ou WAAP), peuvent contribuer à la protection de vos applications Web en fournissant les dernières solutions de sécurité disponibles sous forme d'un produit unique et facile à utiliser.

À ce sujet, Gartner déclare : « Les services de protection des API et des applications Web dans le cloud sont l'évolution des services de pare-feu d'application Web. »

Jamais la nécessité de solutions de WAF-as-a-Service ou de WAAP n'a été aussi claire, compte tenu des nombreux collaborateurs toujours en télétravail et du nombre d'applications passant à un modèle en ligne. Les entreprises doivent s'assurer de disposer d'une solution qui comprend une fonctionnalité de réduction des bots, une protection contre les attaques DDoS et sécurisation des API.

Essayez WAF-as-a-Service via Azure Marketplace

Leave a Reply

Your email address will not be published. Required fields are marked *

Remonter en haut de page
Tweeter
Partager
Partager