Une nouvelle vulnérabilité critique pourrait permettre aux attaquants d’accéder aux systèmes SolarWinds

  • FrançaisFrançais


  • Le groupe d’espionnage chinois Spiral a exploité à deux reprises un serveur SolarWinds connecté à Internet en 2020, selon des chercheurs de Secureworks Counter Threat Unit. («Lettres SolarWinds» par sfoskett à https://www.flickr.com/photos/[email protected]/ 16100325080 est sous licence CC BY-NC-SA 2.0)

    Les chercheurs de Trend Micro ont découvert deux vulnérabilités d’exécution de code à distance (RCE) – dont l’une est critique – qui pourraient permettre à un attaquant de prendre le contrôle des systèmes SolarWinds Orion.

    L’équipe Zero Day Initiative (ZDI) de Trend Micro, qui a travaillé en étroite collaboration avec SolarWinds pour aider les équipes de sécurité à répondre au piratage massif, a déclaré que le score de gravité du deuxième RCE était considéré comme «élevé» par opposition à critique.

    «Les vulnérabilités signalées par le ZDI pourraient permettre à un attaquant distant de prendre le contrôle d’un système SolarWinds affecté», a déclaré Brian Gorenc, directeur principal de la recherche sur les vulnérabilités chez Trend Micro et responsable ZDI. «Ce sont des vulnérabilités importantes et les correctifs doivent être testés et déployés dès qu’ils sont disponibles.»

    Dans le cas du RCE critique, Gorenc a déclaré que la faille spécifique existe dans le service OneTimeJobSchedulerEventsService Windows Communication Foundation (WCF). Il a déclaré que le problème résulte d’un manque de validation appropriée des données fournies par l’utilisateur, ce qui peut entraîner la désérialisation de données non fiables. Gorenc a déclaré qu’un attaquant pouvait exploiter cette vulnérabilité pour élever les privilèges et exécuter du code arbitraire. En substance, l’attaquant peut entreprendre n’importe quelle action que le compte système peut entreprendre.

    «Une fois qu’ils ont System, ils peuvent à peu près posséder la boîte», a déclaré Gorenc. «Cependant, un attaquant doit d’abord obtenir la possibilité d’exécuter du code à faibles privilèges sur le système cible pour exploiter cette vulnérabilité.»

    Pour le deuxième RCE, la faille spécifique existe dans le service WCF JobRouterService. Gorenc a déclaré que cela était dû à la configuration du service WCF, qui permet à des utilisateurs non privilégiés d’accéder à une ressource critique. Les attaquants peuvent exploiter cette vulnérabilité pour exécuter du code dans le contexte d’un administrateur. Un attaquant nécessite également une authentification pour exploiter cette vulnérabilité.

    «Les clients de SolarWinds Orion sont peut-être déjà dans une situation précaire et vulnérable», a déclaré Yaniv Bar-Dayan, co-fondateur et PDG de Vulcan Cyber. «Des exploits ont eu lieu, des vulnérabilités connues ont été ignorées et de nombreuses équipes de cybersécurité et des opérations informatiques sont toujours en train de nettoyer. Nous suggérons fortement de corriger d’abord les vulnérabilités d’Orion précédentes, de mettre en œuvre tous les contrôles de compensation nécessaires, de reconfigurer les systèmes si nécessaire, puis de mettre à niveau vers la version Orion Platform 2020.2.5 dès que possible pour se protéger contre ce RCE. »

    Joseph Carson, scientifique en chef de la sécurité et RSSI consultatif chez Thycotic, a déclaré que les dernières découvertes n’étaient pas surprenantes, en particulier après le récent incident de sécurité grave très visible survenu par SolarWinds.

    «Lorsque tant de professionnels de la sécurité accordent toute leur attention à votre entreprise et à vos logiciels, cela ne fera qu’aider à découvrir des vulnérabilités de sécurité supplémentaires», a déclaré Carson. «Le RCE identifié par ZDI Trend Micro est certainement une préoccupation et une importance critique, cependant, il nécessite un utilisateur authentifié pour l’exploiter. Cela souligne l’importance de protéger les utilisateurs privilégiés avec une solution de sécurité d’accès privilégié solide qui rendra plus difficile pour les cybercriminels d’abuser facilement de tels exploits. »

    Charles Ragland, ingénieur en sécurité chez Digital Shadows, a ajouté que le RCE critique découvert par ZDI permettrait à un attaquant de tirer parti de la désérialisation JSON. La sérialisation permet aux professionnels de la sécurité de transformer quelque chose en format de données pour le restaurer ultérieurement.

    «La désérialisation est essentiellement l’inverse de ce processus», a déclaré Ragland. «En créant une charge utile spécialement conçue à désérialiser côté serveur, vous pouvez provoquer divers effets indésirables, notamment RCE. Dans ce cas, quelqu’un qui a obtenu l’accès à un serveur Orion en tant qu’utilisateur authentifié peut le déclencher via l’action d’alerte de test. Orion est devenu une plate-forme populaire d’administration informatique, et l’exécution de code arbitraire sur ce système pourrait fournir à un attaquant une pléthore d’opportunités pour se déplacer latéralement, exfiltrer des données ou effectuer des actions destructrices. “

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *