Une nouvelle vulnérabilité d’IBM® WebSphere fait le tour du monde
La technologie est l’art de rendre les choses difficiles transparentes. Mais même les interactions numériques les plus simples nécessitent une quantité impressionnante de travail technologique en amont.
Les cyberattaquants tirent parti de ces complexités cachées pour gagner de l’argent et parvenir à leurs fins. Dans l’ouvrage récemment publié CVE-2023-23477 vulnérabilité de désérialisation non sécurisée, présente dans IBM® WebSphere Application Server versions 8.5 et 9.0, le cœur du problème réside dans les outils qui permettent la diaphonie entre les systèmes – en polluant les données qui passent à la suite d’une demande spécifique et en espérant qu’un produit ou un code d’utilisation l’insère par inadvertance.
Ce problème appartient à une classe d’attaques qui se produisent fréquemment dans l’environnement Java et qui sont connues collectivement sous le nom de désérialisation non sécurisée. Voici une explication rapide de ces types de vulnérabilités et des mesures que votre entreprise peut prendre pour rester en sécurité.
ATTAQUES DE DÉSÉRIALISATION NON SÉCURISÉES : UN ABÉCÉDAIRE
À un niveau élevé, la sérialisation et la désérialisation consistent à convertir des octets en objets de données ou des objets en octets afin de les rendre lisibles par un programme. En principe, ces pratiques constituent la base de certaines des tâches les plus fondamentales de la technologie, notamment le stockage de fichiers et les communications, en permettant à des systèmes qui effectuent indépendamment des tâches différentes de partager des données cruciales.
Les cookies des navigateurs web en sont un exemple. Lorsqu’un utilisateur visite un site web, certaines données relatives à son séjour (y compris les durées de navigation et les préférences cochées) peuvent être sérialisées et enregistrées par le navigateur web de l’utilisateur. Lorsque le même utilisateur revient plus tard sur le même site, le navigateur désérialise les données du cookie dans un format que le serveur du site web peut comprendre avant de les transmettre au serveur. Cela permet au site de mémoriser les préférences de l’utilisateur entre les visites et de fournir d’autres interactions personnalisées.
Une attaque par désérialisation non sécurisée se produit lorsque des cyber-attaquants parviennent à tromper un système pour qu’il désérialise des données douteuses. Cela peut permettre des attaques ultérieures et d’autres actions indésirables, telles que le déni de service distribué, le contournement de l’authentification ou même l’exécution de code à distance.
Les sites web sont souvent la cible d’attaques de désérialisation non sécurisées, mais tout système qui désérialise des données non fiables peut être menacé, y compris les services web et les applications.
Selon Portswigger, l’idée communément admise selon laquelle la sérialisation binaire annule toutes les attaques de désérialisation des données est en fin de compte fausse. « Même si cela demande plus d’efforts, il est tout aussi possible pour un attaquant d’exploiter des objets sérialisés binaires que des formats basés sur des chaînes de caractères.
EXPLORER CVE-2023-23477 PLUS EN DÉTAIL
Publiée en mars 2023, la CVE-2023-23477 présente un intérêt particulier pour les lecteurs de ce blog car elle s’applique à certaines versions d’IBM® WebSphere Application Server et – dans les bonnes circonstances – pourrait permettre à des attaquants d’exécuter du code à distance, ce qui est le pire résultat pour toute entreprise.
Plus précisément, les versions 8.5 et 9.0 du serveur d’application IBM® WebSphere sont susceptibles d’être affectées par cette vulnérabilité.
La cause première de CVE-2023-23477 est intégrée dans les machines virtuelles Java, et la vulnérabilité elle-même reflète d’autres techniques d’injection Java basées sur l’objet. Dans ce cas, les attaquants doivent assembler une chaîne de gadgets qui correspond au chemin de classe du programme vulnérable, et les données qu’ils manipulent doivent se présenter sous la forme d’un code binaire ou d’un code binaire base64. En d’autres termes, il est peu probable que les applications recevant des données purement textuelles soient menacées.
LA SÉCURITÉ, C’EST PLUS QU’UN SIMPLE CORRECTIF
Les piles technologiques et les parcs logiciels varient considérablement d’une entreprise à l’autre. Deux entreprises concurrentes peuvent proposer des offres fonctionnellement identiques aux consommateurs, mais s’y prendre de manière très différente en amont. La même réflexion s’applique au marketing, aux ventes, au développement de produits et à toutes les autres branches de l’organisation.
Ce fait fondamental de la technologie commerciale crée une grande sécurité de l’emploi, mais il contribue également à un environnement dans lequel les correctifs peuvent ne pas empêcher ou même atténuer les résultats des vulnérabilités de sécurité, car ils ne sont pas conçus en tenant compte du contexte individuel du client.
Une entreprise n’a pas besoin d’être touchée par CVE-2023-23477 – ou d’utiliser WebSphere – pour comprendre l’idée plus large qui est en jeu. Une approche holistique de la sécurité, adaptée au contexte de l’entreprise, permet de renforcer la sécurité dans l’instant, tout en se protégeant contre les piratages et les vulnérabilités qui n’ont pas encore été découverts.
CVE-2023-23477 CONSEILS SUR LE DURCISSEMENT
L’objectif, lorsqu’on tente de remédier à la vulnérabilité CVE-2023-23477, est d’empêcher les attaques en limitant les communications à des entités fortement identifiées sur le réseau local et, si possible, en empêchant WebSphere Application Server d’accepter et de transmettre des objets sérialisés Java dans leur intégralité.
Les entreprises qui ne peuvent pas déployer de correctif pour résoudre ce problème ou qui choisissent de ne pas le faire doivent se demander si leurs applications transmettent ou acceptent des objets sérialisés Java via une interface réseau.
Une fois ces informations déterminées, les entreprises doivent se demander quels protocoles réseau ces interfaces sont le plus susceptibles d’utiliser : HTTPS ou RMI.
Plus généralement, en fonction de leur contexte et de la forme unique de leur parc de logiciels, les entreprises qui souhaitent remédier à CVE-2023-23477 pourraient envisager de mettre en œuvre chacun des éléments suivants :
- Verrouiller le produit de manière à ce qu’il n’accepte ni ne transmette d’objets sérialisés Java sur aucune interface réseau.
- Restreindre l’accès au réseau au trafic local uniquement
- Rejeter toutes les communications non cryptées ou faiblement cryptées
- Restreindre les communications à des contreparties bien identifiées, telles que les certificats numériques ou d’autres méthodes fortement identifiées.
- Veiller à ce que le réseau soit surveillé afin d’identifier toute activité anormale.
- Réduire les classes sur le chemin de classe Java pour n’inclure que les objets sérialisés Java requis lorsque l’utilisateur effectue une sauvegarde/restauration ; les attaquants ne peuvent exécuter que les classes qui se trouvent sur le chemin de classe, ce qui peut s’avérer difficile à exécuter.
En outre, les entreprises devraient envisager de mettre en œuvre un filtre de servlet pour inspecter la section de description de la classe du fichier sérialisé et rejeter tout objet pertinent qui échoue au test de syntaxe.
REMARQUE IMPORTANTE : si, à l’avenir, l’entreprise doit accepter des objets sérialisés Java via n’importe quelle interface réseau, cette possibilité devra être revue et réactivée.
IL Y A TOUJOURS UNE AUTRE ATTAQUE
Comme l’illustre de manière inquiétante la vulnérabilité CVE-2023-23477, il y a toujours une autre cyberattaque potentielle qui attend de se produire. Que les prochains problèmes surviennent sous la forme d’injection d’objets ou sous une autre forme, une approche proactive de la cybersécurité n’est pas seulement un luxe, c’est une nécessité.
Étant donné que les organisations varient fortement en termes de technologie, la forme que prendront ces changements sera très différente d’une entreprise à l’autre. Il est clair, cependant, que votre meilleure défense est une assistance logicielle proactive et holistique, soutenue par un accès rapide à une expertise de niche.
