SecurityInsider
Le blog des experts sécurité Wavestone

CERT-W : retour sur l'actualité de la semaine du 6 février au 10 février 2017




Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !

[Focus] Ticketbleed

Dans la famille des vulnérabilités ayant un logo et portant un nom tonitruant, la petite dernière s’appelle Ticketbleed. Comme dans Heartbleed, il s’agit d’une vulnérabilité affectant la pile TLS et révélant des données aléatoires et potentiellement sensibles. Cette vulnérabilité, publiée par Filippo Valsorda, affecte les produits F5 BIG-IP et permet d’obtenir jusqu’à 31 octets de données à chaque attaque.

Les F5, késako?

Le produit BIG-IP de F5 Networks est un répartiteur de charge (load balancer en anglais) permettant essentiellement de distribuer un nombre important de connexions sur plusieurs serveurs. Dans le cas d’une utilisation devant des serveurs web, ce sera le F5 qui fera office de terminaison ssl, c’est-à-dire que les clients établiront la connexion sécurisée avec le serveur BIG-IP et non avec les serveurs web qui sont derrière.


Schéma de l’utilisation d’un répartiteur de charge

Description de la vulnérabilité

La vulnérabilité provient de l’implémentation des tickets de session TLS dans les produits F5. Ces tickets sont utilisés pour permettre à un client de reprendre une session TLS déjà commencée, au lieu de recommencer la poignée de mains.
Selon la RFC 5077, lorsqu’un client envoie un Session ID accompagnant un ticket et que celui-ci est accepté par le serveur, ce même Session ID doit être renvoyé au client. Il se trouve que tous les navigateurs, OpenSSL, NSS et BoringSSL utilisent des Session ID de 32 octets. Les répartiteurs de charge F5 renvoient donc systématiquement, lorsque le Session ID n’est pas vide, 32 octets de données. En utilisation nominale, ceci ne pose pas d’inconvénient. Le problème se pose lorsque l’on force l’envoi d’un ticket valide accompagné d’un Session ID de longueur inférieure. Le F5 renverra bien le Session ID du client, mais cette fois-ci suivi de mémoire non-initialisée, comme c’était le cas pour Heartbleed.



Impact

Pour l’instant la mémoire récupérée semble contenir des Session ID d’autres utilisateurs. Il est néanmoins envisageable qu’elle contienne d’autres informations (plus sensibles). En effet, les identifiants de session TLS ne sont pas, à eux seuls, des données particulièrement sensibles. En revanche, le fait de divulguer le contenu de mémoire non-initialisée reste extrêmement risqué. Si des données confidentielles (comme la clé privée du serveur) peuvent être obtenues, alors la faille devient véritablement critique.

Mesures correctives

Pour corriger cette faille à très court terme, il suffit de désactiver l’utilisation des tickets de session au niveau du système affecté. Ceci forcera les clients à rétablir une session TLS à chaque connexion. Ceci devrait avoir un impact négligeable sur les performances des systèmes mis en jeu. Les éléments de configuration nécessaires pour désactiver la fonctionnalité sont présentés dans le billet consacré à Ticketbleed dans site officiel de F5 Networks.
La correction à plus long terme consiste à mettre à jour les appliances affectées. Les correctifs sont d’ores et déjà disponibles pour les versions vulnérables :

  • BIG-IP LTM versions antérieures à 12.1.0
  • BIG-IP AAM versions antérieures à 12.1.0
  • BIG-IP AFM versions antérieures à 12.1.0
  • BIG-IP Analytics versions antérieures à 12.1.0
  • BIG-IP APM versions antérieures à 12.1.0
  • BIG-IP ASM versions antérieures à 12.1.0
  • BIG-IP DNS versions antérieures à 12.1.0
  • BIG-IP Link Controller versions antérieures à 12.1.0
  • BIG-IP PEM versions antérieures à 12.1.0
  • BIG-IP WebSafe versions antérieures à 12.1.0
  • BIG-IP GTM versions antérieures à 11.5.0 à 11.6.1


Sources

https://www.theregister.co.uk/2017/02/09/f5s_bigip_leaks_lots_of_little_chunks_of_memory/
http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-048/CERTFR-2017-AVI-048.html
https://blog.filippo.io/finding-ticketbleed/
https://tools.ietf.org/html/rfc5077
https://filippo.io/Ticketbleed/
https://support.f5.com/csp/article/K05121675
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9244
https://www.ietf.org/rfc/rfc5077.txt
https://nmap.org/nsedoc/scripts/tls-ticketbleed.html
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9244



[Brève] Des blogs attaqués suite à la publication d’une vulnérabilité dans WordPress Core

Une faille majeure, corrigée dans la version 4.7.2 de Wordpress, permet de modifier le contenu des blogs vulnérables. À la suite de la publication des premiers exploits publics, plus de 1.5 millions de sites auraient été visés.
http://www.bbc.com/news/technology-38930428
https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/
https://github.com/Iansus/sploits/blob/master/WordPress/
                                                                                                                                                   

[Brève] Des attaques sur les banques polonaises attribuées au groupe Lazarus

Plusieurs banques polonaises ont été infectées par des logiciels malveillants. Les infections ont eu lieu suite à des visites sur le site de l’autorité de supervision financière polonaise. Cette attaque de type watering hole contiendrait du code provenant de la suite utilisée par le même groupe responsable de l’attaque subie par Sony Pictures en 2014.
http://securityaffairs.co/wordpress/56235/apt/lazarus-group-polish-bank.html
https://www.theregister.co.uk/2017/02/13/sony_pictures_hackers_lazarus_returns/


[Brève] Un service en ligne pour analyser des captures réseau malveillantes 

À la manière de virustotal (et donc à utiliser avec les mêmes précautions), le service packettotal permet d’analyser des captures réseau en format pcap et pcapng.
http://www.packettotal.com
https://isc.sans.edu/diary/Do%2BYou%2BUse%2BVirusTotal%3F%2B%2BGive%2BPacketTotal%2Ba%2BSpin%21/22061


[Brève] Publication d’un outil de post-exploitation permettant de récolter des données et effectuer de l’administration à distance sur macOS

https://github.com/manwhoami/Bella


[Brève] Une XSS dans Steam corrigée par Valve

Un champ dans les profils utilisateur était jusqu’à présent vulnérable à de l’injection de code. Une visite vers la page de profil d’un utilisateur malveillant entrainait alors l’exécution de code dans le navigateur de la victime.
https://threatpost.com/valve-patches-trivial-xss-bug-in-steam/123647/
https://www.reddit.com/r/Steam/comments/5skfg4/warning_regarding_a_steam_profile_related_exploit/


[Brève] Une mise à jour firmware suite à des vulnérabilités critiques sur les routeurs TP-LINK

https://threatpost.com/updated-firmware-due-for-serious-tp-link-router-vulnerabilities/123702/
https://pierrekim.github.io/advisories/2017-tplink-0x00.txt


Patricio CASTRO DU PLESSIS

Aucun commentaire:

Enregistrer un commentaire