+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 214
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 214
    Points : 73 760
    Points
    73 760

    Par défaut Une faille critique dans des produits de FireEye permet l’exfiltration de données critiques de l’entreprise

    Une faille critique dans des produits de FireEye permet l’exfiltration de données critiques de l'entreprise
    via un courriel

    Deux chercheurs en sécurité faisant partie de l’équipe derrière le Project Zero de Google ont trouvé des vulnérabilités critiques dans des produits FireEye

    « Pour donner un bref aperçu, une organisation installe un dispositif FireEye sur son réseau interne, puis le connecte à un SPAN ou un port miroir à un point de sortie (ceux-ci sont intégrés dans les ports des équipements de réseautage professionnel de suivi).

    Le dispositif FireEye montre alors tout le trafic réseau de façon passive, gérant des protocoles communs tels que HTTP, FTP, SMTP, etc., pour tous les fichiers transférés. Si un transfert de fichier est détecté (par exemple, une pièce jointe ou un téléchargement HTTP) le dispositif extrait le fichier et effectue un balayage pour chercher d’éventuels logiciels malveillants.

    En principe, si un utilisateur reçoit un courriel malveillant ou visite un site web malicieux, le dispositif FireEye observe le trafic et alerte l'administrateur réseau. FireEye fait également des appareils spécifiquement destinés à surveiller les serveurs de fichiers et serveurs de messagerie, entre autres », expliquent les chercheurs.


    Travis Ormandy et Natalie Silvanovitch expliquent qu’une faille réside dans le MIP (Malware Input Processor), un module qui est responsable de l’analyse statique des fichiers, invoquant les programmes et plugins auxiliaires pour décoder différents types de fichiers. Par exemple, l’auxiliaire swf invoque flasm pour décoder les fichiers flash, l’auxiliaire dmg invoque p7zip pour extraire le contenu des images disques Mac OS et l’auxiliaire png invoque pngcheck pour vérifier les images malformées.

    Du côté de l’auxiliaire jar qui est utilisé pour analyser les archives Java, il vérifie les signatures en faisant appel à jarsigner, puis tente de décompiler le contenu en utilisant un décompileur open source Java appelé JODE. Une fois la décompilation effectuée, il parcourt le code à la recherche de modèles connus de code malveillant dans les sorties générées par le décompileur.

    Étant donné que JODE est open source, les chercheurs ont examiné son code source. Ils ont remarqué un code particulier qui tente de manipuler les invocations de méthode dans les constructeurs statiques.

    C’est la raison pour laquelle ils ont décidé d’aller plus loin dans leur recherche. Alors ils ont extrait le package JODE du dispositif de FireEye pour l’examiner plus attentivement. Au niveau du débogueur jdb, le paramètre OPTION_DECRYPT était activé et la classe SimpleVirtualMachine était définie :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    $ jdb -classpath "." net.sf.jode.decompiler.Main test.jar
    Initializing jdb ...
    > stop in net.sf.jode.expr.InvokeOperator.deobfuscateString
    Deferring breakpoint net.sf.jode.expr.InvokeOperator.deobfuscateString.
    It will be set after the class is loaded
    > run
    ...
    main[1] dump net.sf.jode.decompiler.Options.options
     net.sf.jode.decompiler.Options.options = 831
    « Ce qui veut dire qu’en envoyant un JAR dans le réseau, nous pouvons faire en sorte que FireEye l’exécute en prétendant simplement faire usage d’une obfuscation de chaîne de caractères », estiment les chercheurs. Pour rappel, l'obfuscation consiste à rendre le résultat d'une décompilation difficilement lisible, voire impossible.

    Pour apporter une preuve de ce concept, ils ont créé une classe que JODE pourrait exécuter et l’ont utilisée pour invoquer java.lang.Runtime.getRuntime().exec() qui leur a permis d’exécuter des commandes arbitraires shell.

    Cette vulnérabilité peut s’avérer très dangereuse parce qu’elle peut permettre l’exfiltration des données confidentielles de l’entreprise, l’altération du réseau, l’autopropagation des vers issus d'internet.

    « Une vulnérabilité qui peut être exploitée via une interface de gestion passive serait un scénario catastrophe », ont prévenu les chercheurs. « Cela voudrait dire qu’un attaquant n’aura qu’à envoyer un courriel (…), le bénéficiaire n’aura même pas à lire le courriel, juste le recevoir sera suffisant » ont indiqué les chercheurs qui ont précisé que les produits de la gamme NX, FX, AX et EX de FireEye sont concernés par cette vulnérabilité.

    Des correctifs de sécurité ont déjà été déployés pour colmater cette faille appelée « 666 » et les utilisateurs qui n’ont pas encore effectué cette mise à jour sont conseillés de le faire au plus vite pour protéger leur infrastructure.

    Source : blog Google, FireEye (au format PDF)
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 368
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 368
    Points : 6 311
    Points
    6 311

    Par défaut

    c'est moche mais bon, les produits FireEye sont impactés et leur nature (produits à vocation sécu) rend la vulnérabilité d'autant plus critique et le buzz d'autant plus bzzbzz, mais in fine la faille se situe dans JODE, on nous apprend par ailleurs que le dispositif/appliance/shmürtz utilise également des outils comme flasm ou pngcheck, rien ne dit qu'il n'y a pas de trous dans ces outils là également, et si les équipes de FireEye n'ont pas audité les applis tierces avant de les implémenter les produits vont continuer d'être vulnérables
    perso la dernière fois que j'ai utilisé pngcheck et regardé un peu son code source il me segfaultait dans les doigts assez facilement avec des PNG -mal- craftés...
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  3. #3
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 957
    Points
    4 957
    Billets dans le blog
    6

    Par défaut

    ça sent le manque de test et relecture avant utilisation d'un code tiers
    merci de me mettre des quand mes messages sont pertinent, et pour les pas contents voici mon service client pour eux

    [Projet en cours] Strategy(nom provisoire) - Advance wars like
    cordova-plugin-file-hash Plugin cordova servant à obtenir le hash d'un fichier

Discussions similaires

  1. Réponses: 4
    Dernier message: 05/07/2015, 11h51
  2. Réponses: 19
    Dernier message: 26/08/2009, 11h16
  3. Réponses: 1
    Dernier message: 25/06/2009, 12h18
  4. Packaging d'une tache Pentaho dans un produit
    Par Scorpio85 dans le forum Pentaho
    Réponses: 7
    Dernier message: 23/05/2008, 16h11
  5. [HTML] pb de mise en place d'une balise <div> dans des balises <ul>
    Par youp_db dans le forum Balisage (X)HTML et validation W3C
    Réponses: 3
    Dernier message: 06/11/2006, 17h57

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo