Cette semaine, nous examinons les vulnérabilités liées à l'Unicode, qui permettent d'encoder du code de manière malveillante afin qu'il apparaisse différemment à un compilateur et à l'œil humain. Nous parlerons également de la sécurité des conteneurs et d'un plugin WordPress vulnérable qui, selon nous, mérite notre attention.
Source du cheval de Troie (CVE-2021-42574)
Un article publié récemment par deux chercheurs de l'université de Cambridge montre que l'utilisation unique des caractères Unicode de neutralisation de la directionnalité dans le code pourrait amener les lecteurs humains à interpréter à tort le code comme étant sûr, tout en permettant à des acteurs malveillants d'introduire des altérations logiques dans la base de code. Les chercheurs ont créé un dépôt GitHub pour démontrer comment ces caractères peuvent être utilisés dans différents langages de programmation.
#!/usr/bin/env python3
def sayHello():
print("Hello, World!")
def sayHello():
print("Goodbye, World!")
sayHello()Pouvez-vous dire quelle fonction sera exécutée ? Un compilateur le peut !
Ce problème peut avoir de multiples implications en matière de sécurité. Un code malveillant peut être introduit dans un référentiel public d'apparence par ailleurs sûre pour des attaques de la chaîne d'approvisionnement. Le code copié à partir de forums publics peut également contenir ces altérations logiques malveillantes. L'article mentionne que la plupart des compilateurs sont vulnérables à ces problèmes, et même si certaines communautés ont reconnu le problème (voir Rust et GitHub), on sait que la plupart sont encore vulnérables.
Meilleures pratiques en matière de sécurité des conteneurs
Selon Docker, un conteneur est une unité logicielle standard qui regroupe le code et toutes ses dépendances. L'application fonctionne rapidement et de manière fiable d'un environnement informatique à l'autre. Cela permet de déployer une image d'application sans apporter de modifications aux différents systèmes d'exploitation hôtes. Bien que ces images de conteneurs soient isolées du système d'exploitation sous-jacent, une vulnérabilité exploitable à l'intérieur d'un conteneur peut compromettre l'ensemble de votre infrastructure en nuage, selon le guide Comprehensive Container Security de sysdig. Selon l'enquête 2020 de la Cloud Native Computing Foundation (CNCF), l'utilisation des conteneurs en production a augmenté pour atteindre 92 %, ce qui signifie qu'il est plus important que jamais de sécuriser ces instances.
Nous proposons notre propre guide sur la sécurité des conteneurs, qui explique en détail comment utiliser les outils et procédures recommandés pour créer des images Docker sécurisées. Nous vous recommandons de suivre ces bonnes pratiques pour mieux sécuriser vos conteneurs :
- Mettez régulièrement à jour les images afin de réduire le nombre de vulnérabilités dans un conteneur.
- Recherchez fréquemment les vulnérabilités à l'aide d'un outil de recherche de vulnérabilités tel que Trivy, un outil gratuit et open-source conçu à cet effet.
- Créez des utilisateurs limités pour l'exécution des conteneurs et évitez autant que possible d'exécuter les conteneurs en tant qu'utilisateur root. Il est important d'appliquer le principe du moindre privilège lors de l'utilisation de conteneurs.
- Limiter l'utilisation de l'unité centrale et de la mémoire vive d'un conteneur. Les limites d'utilisation du matériel réduisent considérablement la capacité d'un attaquant à effectuer du minage de crypto-monnaie sur un conteneur donné. Cela permet également d'améliorer les performances en réduisant la quantité de ressources inutiles allouées à un conteneur.
Enfin, vous pouvez consulter l'aide-mémoire sur la sécurité de Docker fourni par l'Open Web Application Security Project (OWASP) pour une vue d'ensemble rapide sur ce sujet.
Plugin WordPress OptinMonster (CVE-2021-39341)
Selon la page WordPress du plugin, OptinMonster est un plugin qui aide ses utilisateurs à créer des popups pour permettre aux lecteurs de s'abonner. À ce jour, il compte plus d'un million d'installations actives.
Ce plugin utilise des points de terminaison API pour fonctionner. Selon l'article de WordFence, la plupart de ces points de terminaison API sont vulnérables, ce qui permet à un attaquant non authentifié d'exporter des informations sensibles et d'injecter du code JavaScript malveillant dans les sites WordPress utilisant le plugin. Les versions antérieures à 2.6.4 de ce plugin sont ouvertes à ces attaques, et il est fortement recommandé de mettre à jour ce plugin vers la dernière version. L'équipe d'OptinMonster a réinitialisé les clés API compromises, et les utilisateurs pourraient avoir besoin de régénérer leurs clés API pour continuer à utiliser le plugin.
En préparant ces résumés, nous souhaitons partager des informations utiles avec nos lecteurs. N'hésitez pas à laisser un commentaire ci-dessous si vous avez appris quelque chose de nouveau, et restez à l'écoute pour connaître les dernières nouvelles en matière de sécurité.
Commentaires