Chrome, PHP, RDP… des vulnérabilités comme s’il en pleuvait…

Quand les vulnérabilités ne sont pas exploitées à grande échelle avant même la sortie des correctifs de sécurité, des vulnérabilités de type « 0 day », des « POCs » sont publiés dans la foulée. La durée acceptable d’attente avant l’application des patchs est de plus en plus réduite et la course au collage de rustines n’en finit pas. Bienvenue dans le joyeux monde du tonneau des Danaïdes qu’est la cybersécurité.

La semaine dernière, le CERT-FR de l’ANSSI ouvrait une alerte [1] relative à la mise à disposition publique d’un POC permettant d’exploiter une vulnérabilité corrigée quelques jours auparavant dans PHP, le langage dynamique le plus utilisé du Web. Depuis, un fork du premier POC pour les amateurs de Python a été publié également, autant dire que le rafiot va prendre l’eau si vous ne bouchez pas les trous rapidement. Une configuration très courante du serveur Web Nginx et php-fpm permettrait avec une version vulnérable de PHP, d’exécuter du code arbitraire à distance. Un correctif a été publié le 24 octobre pour les branches 7.1.X, 7.2.X et 7.3.X de PHP, mais les versions 5.X, pas directement exploitables à l’aide du POC dont il est question dans cet alerte, seraient elles aussi vulnérables, comme le souligne l’auteur du POC et le confirme également l’ANSSI. Le problème est que les versions 5.X de PHP ne sont plus maintenues et que si vous avez des serveurs dans ce type de configuration, il serait intéressant de se pencher rapidement sur le plan de migration… En attendant, le CERT-FR vous donne une solution de contournement provisoire.

Google semble s’être fait peur lors de la soirée de Halloween et a publié en urgence un correctif de sécurité pour Chrome [2], afin que le navigateur le plus utilisé au monde ne reste pas à l’état de citrouille maléfique. En effet la vulnérabilité CVE-2019-13720, reportée par les chercheurs de Kaspersky serait déjà activement exploitée via du code JavaScript malveillant implémenté sur des sites Web légitimes, mais corrompues. Elle permettrait l’installation d’un logiciel malveillant, comme l’indique l’ANSSI [3].

Ce qui doit arriver, fini toujours par arriver… Après un correctifs publié par Microsoft, aussi pour XP et 2003 en mai, un scanner mis à disposition en juin par le chercheur Robert Graham, un exploit non publique, puis une implémentation dans Metasploit et de nombreuses alertes, ça y est, c’est fait, le premier vers exploitant la vulnérabilité BlueKeep a été découvert ! Pour rappel, la CVE-2019-0708 impacte l’implémentation du protocole RDP dans les systèmes Windows.
Après un crash des serveurs RDP du honeypot de Kevin Beaumont et son partage d’informations avec le chercheur Marcus Hutchins alias « Malware Tech » (mais si, rappelez-vous ce jeune héro qui a découvert le moyen d’arrêter la propagation du rançongiciel Wannacry en 2017 en achetant un nom de domaine), la nouvelle est tombée, un vers servant à propager un cryptominner pour Monero utilise la vulnérabilité BlueKeep pour se répandre [4]. Vous sentez le raz de marrée arriver ? Si ce n’est pas encore fait, patchez et activez l’authentification NLA sur vos serveurs RDS…

Si vous n’avez pas envie de passer du temps à éponger, préparez vos barricades pour les inondations à venir. L’eau monte très vite...

[1] https://www.forum-sih.fr/viewtopic.php?f=78&t=1334&p=5310#p5300

[2] https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html

[3] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-015/

[4] https://doublepulsar.com/bluekeep-exploitation-activity-seen-in-the-wild-bd6ee6e599a6