Dans le digest de cette semaine, nous aborderons les points suivants :
- Rancher stocke des informations d'identification en clair permettant la prise de contrôle d'un cluster ;
- ModSecurity WAF bypass ;
- six vulnérabilités dans BIND ; et
- Akamai signale plus de 13 millions de domaines par mois comme étant malveillants depuis le début de l'année.
Rancher Stocke des informations d'identification en clair permettant la prise de contrôle d'un cluster
Rancher est une plateforme Kubernetes open source qui permet aux utilisateurs de déployer et d'exécuter des clusters de conteneurs à travers des fournisseurs. Un récent rapport de bogue montre que des champs sensibles tels que les mots de passe, API et les jetons de compte étaient stockés directement sur les objets Kubernetes en clair et accessibles à toute personne ayant accès à l'objet en question. Cela a de sérieuses implications pour les contrôles de sécurité à l'intérieur des objets Kubernetes appartenant à Rancher. Comme l'explique Marco Stuurman, ingénieur système chez Linux :
"L'attaquant n'a besoin que des privilèges les plus bas possibles pour accéder à un cluster géré par Rancher . Par exemple, le seul privilège de l'utilisateur de notre robot de surveillance était de transmettre les requêtes HTTP de Rancher à l'instance de surveillance fonctionnant dans le cluster cible."
Voici les recommandations actuelles des fournisseurs pour remédier à ces problèmes.
- Rotation des jetons de compte de service Rancher ; les responsables de Ranchers ont fourni un script.
- Limiter l'accès aux instances Rancher en aval.
- Vérifier les grappes en aval pour déceler les signes potentiels d'une brèche.
- Modifier les informations d'identification qui auraient pu être divulguées.
Contournement du WAF de ModSecurity
Treize nouvelles découvertes, dont des vulnérabilités exceptionnelles, critiques et élevées, ont été faites lors d'une récente évaluation de l'OWASP ModSecurity Core Rule Set (CRS) pour leur pare-feu d'application Web (WAF).
Deux d'entre elles concernaient des confusions de type de contenu, le WAF et le serveur dorsal interprétant différemment le contenu des requêtes en raison des règles recommandées par ModSecurity.
L'une de ces vulnérabilités utilise spécifiquement la façon dont les commentaires XML sont ignorés par le WAF et permet d'injecter des données "x-www-form-urlencoded" valides que le WAF ignore parce qu'elles sont analysées comme un commentaire XML.
Une autre série de résultats est basée sur le type de contenu "multipart/form-data" dans lequel le contournement est autorisé en utilisant l'en-tête "Content-Dispositions", ce qui permet à un attaquant d'injecter des chaînes de caractères malveillantes fragmentées.
CVE-2022-39955 est un autre exemple de vulnérabilité issue de cette évaluation. L'utilisation de "utf-7" comme jeu de caractères supplémentaire et l'encodage du corps permettent un contournement ambigu.
Ces vulnérabilités et bien d'autres sont corrigées dans les correctifs les plus récents apportés par ModSecurity et CRS.
Six vulnérabilités dans BIND
L'Internet Systems Consortium (ISC) a publié dans BIND des informations relatives à la dégradation des performances du résolveur, à la lecture excessive de la mémoire tampon, aux fuites de mémoire et aux terminaisons inattendues.
CVE-2022-2795 est une vulnérabilité qui inonde le résolveur cible avec des requêtes qui exploitent cette faille ; un avis peut gravement dégrader les performances d'un résolveur, ce qui peut entraîner une attaque DOS.
CVE-2022-2881 est un bogue sous-jacent qui permet de lire au-delà d'un tampon spécifié. Cela peut entraîner la lecture d'une mémoire qui ne devrait pas être lue, voire le plantage complet du processus.
CVE-2022-2906, CVE-2022-38177 et CVE-2022-38178 sont tous liés à des fuites de mémoire. Ces fuites de mémoire sont causées par des signatures ECDSA ou EdDSA malformées et d'autres failles, ce qui permet au processus en cours d'exécution de prendre plus de mémoire qu'il n'en a besoin, entraînant une érosion de la mémoire disponible sur le système et potentiellement un plantage du processus en raison d'un manque de ressources.
CVE-2022-3080 est une vulnérabilité qui permet à un attaquant d'envoyer une requête spécifique entraînant l'arrêt complet du processus de résolution.
Ces vulnérabilités ont été corrigées dans les versions stables les plus récentes de BIND 9.18 et 9.16.
13 millions de domaines malveillants repérés en un mois
Akamai a signalé plus de 79 millions de domaines depuis le début de l'année 2022, soit environ 13 millions de domaines par mois. Globalement, ce nombre représente plus de 20 % de tous les nouveaux domaines qui ont été résolus avec succès.
Ces détections sont basées sur ce que l'on appelle les domaines nouvellement observés (NOD). Akamai définit un NOD comme un domaine qui n'a pas été résolu depuis 60 jours. Il peut s'agir de domaines nouvellement achetés ou simplement de domaines nouvellement utilisés. Des détections similaires prennent en compte la date d'enregistrement d'un domaine, ce qui est un système limité, car certains acteurs malveillants sont simplement capables de s'asseoir sur un domaine pendant une période donnée une fois qu'il est enregistré pour l'utiliser et échapper à ce système. De même, les autres organisations qui surveillent les NOD n'ont pas l'envergure d'Akamai ; elles surveillent dans des limites de temps allant de 30 minutes à 72 heures, loin des 60 jours d'Akamai.
Les NOD ne sont pas totalement utiles en soi, mais lorsqu'ils sont combinés à d'autres renseignements, ils peuvent fournir des informations précieuses sur les domaines et la manière dont ils sont utilisés. Les applications des NOD sont notamment le phishing et la détection rapide des menaces. Toutefois, ces NOD ne se limitent pas à la détection d'activités malveillantes, comme l'analyse heuristique.
Dans l'ensemble, il semble que ces NOD seront toujours essentiels dans la chasse aux menaces ainsi que dans la détermination des comportements malveillants et des mesures actuelles prises par Akamai pour ouvrir la voie à l'avenir.
Commentaires