Un scanner de vulnérabilités open source victime... d'une faille!!

-

Salut à tous,

Aujourd'hui, on se retrouve pour discuter d'un sujet assez cocasse avec le cas du scanner open source spécialisée dans la détection de failles de sécurité Nuclei qui est lui-même vulnérable à une vulnérabilité donnant la capacité d'exécuter du code distant.  

Nuclei est un outil relativement populaire puisqu'il est open source, assez simple à prendre et une grande partie de la communauté a commencé à le présenter que ce soit sur LinkedIn ou Youtube à travers différents vidéos de tutoriels pour le mettre en place et l'utiliser dans les meilleurs conditions. Il est relativement puissant car il va permettre de procéder à des analyses dans le but d'identifier des vulnérabilités et faiblesses sur les sites web, applications cloud et réseaux. 
Cependant, il y a une semaine, nous avons appris que Nuclei présente une faille d'un score CVSS de 7,4 sur 10 répertoriée sous le nom de CVE-2024-43405 et affectant tous les versions de Nuclei postérieures à la version 3.0.0. On doit son identification par la société de sécurité cloud Wiz avec la publication du PoC de contournement, ici
Cette faille permet aux attaquants d'utiliser des modèles malveillants conçus à l'aide de codes arbitraires pouvant octroyer des accès à des données sensibles de l'hôte. 
Pour aller dans le détail, l'outil va s'appuyer sur l'utilisation de modèles disponibles sous forme de fichiers YAML définissant les vérifications ou tests nécessaires au processus d'analyse des vulnérabilités. Il est primordial de garantir l'authenticité des modèles pour assurer leur intégrité pour ne pas induire en erreur ou compromettre le processus d'analyse. Le processus de vérification des signatures garantissant l'authenticité est basé sur Go regex
Le développeur et mainteneur de la solution a informé que celle-ci avait été détectée dans le processus de vérification de la signature des modèles de Nuclei permettant à un attaquant de contourner la vérification de la signature et exécuter un code malveillant grâce à son propre modèle de code personnalisé. 

Pour s'en prémunir, il est conseillé de procéder à une mise à niveau sur la version corrigée disponible depuis le 4 septembre 2024 ou de s'abstenir d'utiliser des modèles personnalisés. 
Pour l'application du patch, les utilisateurs CLI comme SDK sont concernés. La première comprend ceux qui exécutent des modèles de code personnalisés à partir de sources non vérifiées et la second comprend ceux qui passent par le kit de développement logiciel car les développeurs autorisent l'exécution de modèles de code personnalisés par les utilisateurs finaux. 

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Armis lève 200 millions de $ et envisage une introduction en bourse!!

-
Image
Salut à tous les petites barbichettes, Aujourd'hui, on se retrouve pour cette annonce à propos de la société Armis qui est parvenue à lever 200 millions de $ US lui permettant d'atteindre une valorisation de 4,2 milliards de dollars US. L'entreprise envisage également une introduction en bourse. Mais, au final, que fait Armis? Armis est une société israélo-américaine fondée en 2016 par Yevgeny Dibrov et Nadir Izreal et dont le siège est basé aux Etats-Unis (Californie). L'entreprise est présentée comme le spécialiste de la gestion en cyberexposition et cybersécurité. La capacité de la solution est d'offrir une visibilité, une sécurité ainsi qu'une gestion des risques aux entreprises de tous les secteurs.  Grâce à leur plateforme, Armis Centrix, les entreprises disposent de la capacité à voir, sécuriser et gérer leurs assets les plus critiques en temps réel que ce soit du code, des logiciels, de l'informatique ou encore des dispositifs médicaux. Elle sécurise...
Lire la suite

Nouvelle acquisition pour Sophos!!

-
Image
Salut à tous les petites barbichettes, Aujourd'hui, on se retrouve pour aborder la toute nouvelle acquisition que l'entreprise anglaise spécialisée en logiciels et appliances de sécurité, Sophos vient de réaliser afin de renforcer son portefeuille en cybersécurité: Secureworks. Depuis 2019, l'entreprise Dell cherchait à se séparer de cette entreprise. C'est chose faîte grâce à la transaction numéraire pour un montant de 859 millions de dollars US . Un rachat mené par une main de maître en la personne de son principal actionnaire, Thoma Bravo . Fondée en 1998 et basée à Atlanta (Géorgie), Secureworks édite la plateforme cloud Taegis permettant de détecter et répondre aux menaces avancées (XDR pour Extended Detection & Response). Sophos permet ainsi au fonds d'investissement de renforcer son portefeuille déjà bien fourni avec Barracuda Networks, Veracode, McAfee, Imperva et Darktrace (acquis récemment pour un montant de 5,3 milliards de dollars US).  Joe Levy, CEO...
Lire la suite

Faille de sécurité zero-day (CVE-2024-50388) pour l'application de sauvegarde de pour NAS de Qnap!!

-
Image
Salut à tous les petites barbichettes, Aujourd'hui, on se retrouve pour aborder une vulnérabilité qui a été dévoilée par des chercheurs en sécurité lors de la compétition Pwn2Own Ireland 2024 au sein de l'application de sauvegarde pour NAS du fabricant QNAP. Durant ses quatre jours de compétition, un total de 70 failles de sécurité ont été identifiés et exploités dans différents produits et services dont les NAS QNAP pour la CVE qui nous intéresse aujourd'hui. Les chercheurs en sécurité de l'équipe Viettel Cyber Security sont parvenus à exploiter cette vulnérabilité sur un NAS QNAP TS-464 leur permettant d'exécuter du code arbitraire et obtenir les droits d'administration. La vulnérabilité est présente dans la solution HBS 3 Hybrid Backup Sync de QNAP (application de sauvegarde et de reprise après incident) et utilisée par plus de 1,2 millions d'utilisateurs . Cette vulnérabilité est considérée comme critique et a été décrite dans un bulletin de sécurité d...
Lire la suite