Un bug de Libgcrypt rend vulnérable à l’exécution de code

0

Le projet Libgcrypt a déployé un correctif pour une faille critique dans la version 1.9.0 de la bibliothèque cryptographique open source. Un exploit permettrait à un pirate informatique d’écrire des données arbitraires sur une machine ciblée et d’exécuter du code.

La faille de sécurité est une faille de dépassement de mémoire tampon dans Libgcrypt 1.9.0 (sorti le 19 janvier – les versions précédentes ne sont pas affectées), qui, selon les chercheurs, peut être exploitée en déchiffrant simplement un bloc de données. Le problème est corrigé (CVE en attente) dans la version 1.9.1 de Libgcrypt.

Qu’est-ce que Libgcrypt?

Libgcrypt est une bibliothèque cryptographique à usage général que les développeurs peuvent utiliser lors de la création d’applications, à l’origine basée sur le code de GNU Privacy Guard (GnuPG est à son tour un remplaçant du logiciel libre PGP de Symantec). Libgcrypt est compatible avec POSIX, ce qui signifie qu’il peut être utilisé dans les applications Linux, Unix et macOSX, et peut être activé à l’aide d’un système de compilateur croisé pour Microsoft Windows.

libgcrypt

La faille est «simple à exploiter», selon le chercheur de Google Project Zero, Tavis Ormandy, qui a découvert et signalé le problème.

«Il y a un débordement de mémoire tampon dans Libgcrypt en raison d’une hypothèse incorrecte dans le code de gestion de bloc de tampon. Le simple fait de déchiffrer certaines données peut faire déborder une mémoire tampon avec des données contrôlées par l’attaquant, aucune vérification ou signature n’est validée avant que la vulnérabilité ne se présente », a expliqué Ormandy dans son rapport publié dans le cadre de l’avis de Libgcrypt.

Bien que la version défectueuse ne soit plus disponible au téléchargement, on ne sait pas combien de développeurs l’ont téléchargée pour l’utiliser dans la création de leurs applications avant qu’elle ne soit supprimée. Les développeurs devraient remplacer la bibliothèque vulnérable par la dernière version, ont noté les auteurs de Libgcrypt.

Le cryptographe Filippo Valsorda a noté que Homebrew était affecté par la bibliothèque défectueuse. Homebrew est un système de gestion de progiciels open source qui simplifie l’installation de logiciels sur le système d’exploitation macOS d’Apple et sur Linux. Les développeurs de Homebrew ont reconnu la faille et résolu le problème.

Il a également tweeté que le correctif était problématique sur les machines qui utilisent des processeurs Intel.

Parti-tiers, code open-source: problèmes d’approvisionnement

Les failles dans les bibliothèques tierces ont tendance à persister dans les applications longtemps après le déploiement des correctifs. En fait, 70% des applications utilisées aujourd’hui présentent au moins une faille de sécurité résultant de l’utilisation d’une bibliothèque open-source, selon le dernier rapport de Veracode sur l’état de la sécurité logicielle.

«La plupart des failles introduites dans les bibliothèques (près de 75%) à l’intérieur des applications peuvent être corrigées avec seulement une mise à jour mineure de la version; les mises à niveau majeures de la bibliothèque ne sont généralement pas nécessaires », selon le rapport Veracode. « Ce point de données suggère que ce problème est un problème de découverte et de suivi, et non de refactorisation massive du code. »

Les cybercriminels comprennent également que les référentiels de code et les bibliothèques tierces représentent un point d’entrée intéressant pour lancer une attaque de type chaîne d’approvisionnement avec du code malveillant. Dans un exemple récent du mois dernier, trois packages de logiciels malveillants ont été publiés sur npm, un référentiel de code permettant aux développeurs JavaScript de partager et de réutiliser des blocs de code.

Les packages auraient pu être utilisés comme éléments de base dans diverses applications Web et toutes les applications corrompues par le code peuvent dérober des tokens et d’autres informations aux utilisateurs de Discord, ont déclaré les chercheurs.

Et en Décembre, RubyGems, un référentiel de packages open-source et gestionnaire pour le langage de programmation Web Ruby, a dû mettre hors ligne deux de ses packages logiciels après avoir découvert des logiciels malveillants.

Les gemmes contenaient des logiciels malveillants qui s’exécutaient de manière persistante sur les machines Windows infectées et remplaçaient toute adresse de portefeuille Bitcoin ou de crypto-monnaie trouvée dans le presse-papiers de l’utilisateur par celle de l’attaquant.

«Nous avons vu à plusieurs reprises … des logiciels malveillants open-source frapper GitHub, npm et RubyGems, les attaquants peuvent exploiter la confiance au sein de la communauté open-source pour livrer à peu près tout ce qui est malveillant, des chevaux de Troie d’espionnage sophistiqués comme njRAT, jusqu’à… CursedGrabber», a déclaré Ax Sharma, chercheur chez Sonatype.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.