Des vulnérabilités ont récemment été corrigées dans le plugin Discount Rules for WooCommerce installé sur plus de 40000 sites WordPress. Les développeurs de OWASP Core Rule Set ont déclaré que ModSecurity v3 est exposé à des exploits de déni de service, bien que les responsables de ModSecurity rejettent cette affirmation.

Une vulnérabilité grave appelée Zerologon dans Windows Netlogon a été corrigée en août; ce bogue pourrait être exploité pour attaquer les serveurs d’entreprise. Et un chercheur en sécurité a également découvert que la commande Windows TCPIP Finger peut également fonctionner comme un téléchargeur de fichiers et un serveur de commande et de contrôle de fortune.

Le week-end dernier, près de 2000 magasins Magento ont été compromis dans la plus grande campagne de piratage depuis 2015.

Voici les horodatages et les liens au cas où vous voudriez sauter, et une transcription est ci-dessous.
0:13 Vulnérabilités de haute gravité corrigées Règles de remise pour WooCommerce
2:26 Concours des mainteneurs ModSecurity vulnérabilité de déni de service réclamations
4:43 Faiblesse cryptographique de Netlogon a un impact critique sur les serveurs d’entreprise
6h30 La commande «Finger» de Windows 10 peut être abusé pour télécharger ou voler des fichiers
7:29 Boutiques en ligne Magento piraté dans la plus grande campagne à ce jour

Trouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 87

Scott Miller:

Salut tout le monde. C’est Scott de Wordfence, vous écoutez Think Like a Hacker, le podcast hebdomadaire sur la sécurité et l’innovation WordPress. Passons aux histoires de cette semaine.

Notre premier article de la semaine examine plusieurs vulnérabilités trouvées dans le plugin Discount Rules for WooCommerce. Le 20 août, notre équipe Threat Intel ici chez Wordfence a été informée de plusieurs vulnérabilités qui avaient récemment été corrigées dans le plugin Discount Rules for WooCommerce, qui est installé sur plus de 40000 sites. Nous avons initialement publié une règle de pare-feu pour nous protéger contre ces vulnérabilités le même jour. Au cours de notre enquête, nous avons également découvert plusieurs autres vulnérabilités non corrigées et publié une règle de pare-feu pour nous protéger contre ces problèmes le lendemain, le 21 août. Nous avons ensuite contacté l’équipe Flycart le même jour et avons reçu une réponse presque immédiatement. Ils étaient au courant de l’un des problèmes supplémentaires que nous avions trouvés et ont publié un correctif provisoire le lendemain, le 22, suivi d’un correctif plus complet le 2 septembre. Ils ont ensuite abordé le dernier des problèmes le 9 septembre.

Le plugin Discount Rules for WooCommerce fonctionne avec le plugin e-commerce WooCommerce pour créer des règles personnalisées pour les remises telles qu’une remise spéciale deux pour un. Ainsi, leur patch initial a ajouté une vérification pour empêcher le basculement entre les bases de code V1 et V2 qui, à l’époque, étaient toutes deux accessibles. À ce stade, les sites utilisant le code V1 étaient toujours vulnérables. Une fois que le plugin a été configuré pour utiliser la base de code V1, un certain nombre d’actions AJAX sont devenues disponibles, offrant des fonctionnalités similaires aux actions corrigées dans V2.

En fin de compte, le résultat final est que les attaquants ont pu envoyer une demande de publication et injecter du JavaScript malveillant dans l’un des champs d’une règle de remise, ce qui se ferait simplement en l’ajoutant au paramètre de données. Par la suite, la prochaine fois qu’un administrateur afficherait ou modifierait des règles de remise, le JavaScript malveillant serait alors exécuté dans son navigateur et pourrait finalement conduire à une prise de contrôle du site en ajoutant un plugin de porte dérobée ou un fichier de thème, ou en ajoutant potentiellement un administrateur malveillant parmi d’autres actions malveillantes. .

Les sites exécutant toujours la version gratuite de Wordfence recevront ces règles après 30 jours les 19 et 20 septembre. Si vous utilisez les règles de remise pour le plug-in WooCommerce, assurez-vous que vous êtes à jour vers la dernière version.

Dans notre deuxième article de la semaine, les responsables de ModSecurity contestent les réclamations de vulnérabilité de déni de service. Vous connaissez probablement ModSecurity comme le pare-feu populaire conçu pour arrêter les attaques contre les applications en surveillant le trafic HTTP en temps réel. Ce projet est open source et maintenu par les SpiderLabs de Trustwave. Désormais, le pare-feu ModSecurity fonctionne hors des règles WAF, et les administrateurs peuvent créer leurs propres règles ou déployer l’une des nombreuses bibliothèques existantes pour bloquer les attaques et les tentatives malveillantes sur le serveur.

Une découverte récente suggère que ModSecurity s’est ouvert à des vulnérabilités de déni de service. Et, en réponse, un porte-parole de Trustwave a déclaré que si des modifications ont été apportées au moteur ModSecurity, elles n’ont pas introduit de faille de sécurité. Le porte-parole de Trustwave a déclaré qu’il y avait un changement dans la correspondance d’expressions régulières dans ModSecurity 3.x qui fournissait des fonctionnalités supplémentaires, et qui n’est pas considéré comme une vulnérabilité pour plusieurs raisons, comme un attaquant aurait besoin de savoir qu’une règle utilisant un l’expression régulière était en place. De plus, l’attaquant aurait besoin de connaître la nature de base de l’expression régulière elle-même afin d’exploiter tout problème de ressource. Et bien que ces problèmes de ressources puissent entraîner un ralentissement, ils n’ont pas pu se répliquer.

Christian Folini, codirecteur de l’équipe de développement de l’ensemble de règles de base de l’OWASP, a contesté cette réponse en disant: «Comme ModSecurity n’est que le moteur. Vous avez besoin de règles pour exposer la vulnérabilité. Et, aussi, attribuer le problème aux règles n’a pas beaucoup de sens dans cette architecture. Il a mentionné que c’était comme dire que le serveur serait sécurisé si personne n’était connecté à Internet. Le codirecteur de l’équipe de développement OWASP a insisté pour que les responsables de ModSecurity accélèrent une version pour inclure des atténuations à la vulnérabilité présumée.

SpiderLabs, en réponse, maintient les modifications apportées, n’a introduit aucune faille de sécurité. L’équipe de développement OWASP a depuis déclaré qu’elle déploierait ses propres modifications pour atténuer les problèmes en disant qu’elle publierait un correctif, afin que les utilisateurs puissent résoudre ce problème eux-mêmes, ainsi que fournir des solutions de contournement aux utilisateurs bloqués sur l’ancien et non sécurisé ModSecurity 3.0.4.

Dans notre prochaine histoire, la vulnérabilité Zerologon dans Netlogon pourrait permettre aux attaquants d’accéder au contrôleur de domaine Windows Netlogon est un protocole d’authentification qui vérifiera les utilisateurs et les services via un canal sécurisé entre une machine et un contrôleur de domaine. Ce service Windows est un processus d’arrière-plan et est important pour l’authentification sur les réseaux. Microsoft a corrigé une vulnérabilité grave décrite comme une vulnérabilité d’escalade de privilèges dans son correctif d’août, qui pourrait être exploitée par des attaquants pour prendre le contrôle des serveurs d’entreprise. Et cela était dû aux faiblesses cryptographiques de Netlogon. La vulnérabilité a été découverte par Tom Tervoort de Secura.

Donc, si vous n’êtes pas familier, le protocole distant Netlogon est utilisé pour modifier les informations d’identification de compte dans un domaine. Et peut également être utilisé pour établir des relations de contrôle de domaine utilisateur. Le document technique de Secura, qui a examiné cette vulnérabilité, mentionne que tout ce dont un attaquant a besoin est d’accéder à un réseau pour établir un lien vers un contrôleur de domaine à l’aide de MS-NRPC. Ainsi, le document mentionne ensuite qu’aucune information d’identification n’est requise pour effectuer une attaque. La vulnérabilité elle-même dans le dernier cryptage a été causée par une utilisation incorrecte d’un mode opérationnel AES et permet aux attaquants «d’usurper l’identité de n’importe quel compte d’ordinateur et de définir un mot de passe vide pour ce compte dans le domaine».

Microsoft note que la faille sera corrigée dans un déploiement en deux étapes en raison de l’étendue de la vulnérabilité. Et il semble qu’il faudra peut-être un certain temps avant qu’il ne soit entièrement corrigé. Pour le moment, les contrôleurs de domaine doivent être corrigés dès que possible. Et Secura a publié un outil sur GitHub, qui permet aux administrateurs de voir si un contrôleur de domaine est vulnérable.

Dans notre prochain article de cette semaine, la commande Windows 10 Finger peut être utilisée de manière abusive pour voler des fichiers. Ainsi, s’en tenir à Windows finger.exe est une commande de Windows qui vous permet de récupérer des informations sur les utilisateurs sur des ordinateurs distants, en exécutant le service finger ou le démon. La communication s’effectue via le protocole de communication réseau nom / doigt.

John Page, un chercheur en sécurité, a découvert que la commande Microsoft Windows TCPIP Finger peut également autoriser l’accès au téléchargement de fichiers, ainsi que fonctionner comme un serveur de commande et de contrôle qui peut finalement permettre à un attaquant d’envoyer des commandes et de récupérer des données. Selon Page, les commandes C2 peuvent être déguisées en requêtes Finger envoyées pour récupérer des fichiers et extraire des données sans que Windows Defender n’intervienne ou n’alerte un utilisateur de l’activité. Une chose dont vous devez être sûr est que vous bloquez le port 79, qui est utilisé par le protocole Finger.

Dans notre dernière histoire du jour, les magasins en ligne Magento sont piratés dans la plus grande campagne à ce jour. Plus de 2000 magasins ont été piratés ce week-end, ce que les chercheurs ont appelé la plus grande campagne jamais réalisée. Il s’agissait donc d’un système Magecart où des pirates informatiques compromettaient des sites et utilisaient des scripts malveillants qui volaient des informations de paiement, que les acheteurs entraient lors du paiement. Désormais, la plupart des sites compromis fonctionnaient sur la version 1 du logiciel de la boutique en ligne de Magento. Le logiciel Magento version 1, maintenant déprécié, était considéré comme une cible dès l’année dernière lorsque Adobe, qui possède Magento, a émis une alerte, demandant aux utilisateurs exécutant la version 1 de mettre à jour vers la branche de la version 2. Mastercard et Visa ont toutes deux fait écho à ces avertissements de mettre à jour la deuxième branche au printemps. Au cours de la dernière année, le nombre d’utilisateurs de la version 1 de Magento est passé de plus de 200 000 à moins de 100 000 récemment.

Les attaquants ont apparemment attendu la dépréciation de la version 1, ou la fin de vie du logiciel avant d’exploiter les vulnérabilités. À ce stade, Adobe ne corrigera plus ses bogues. La vulnérabilité zero-day de Magento version 1 a été publiée sur des forums de piratage souterrains le mois dernier. Et cela confirme que les assaillants attendaient la fin de la vie. Il a également été noté que certains sites à fort trafic fonctionnent toujours sur la version 1 et s’appuient désormais sur leur pare-feu pour protéger les sites, ce qui est mentionné comme une stratégie risquée. Si vous utilisez toujours la version 1 de Magento, il est recommandé de passer à la version 2 dès que possible pour atténuer les risques.

C’est tout pour cette semaine sur Think Like a Hacker. J’espère que les nouvelles vous ont bien trouvé. Rendez-nous visite mardi à midi, heure de l’Est, sur YouTube pour Wordfence Live, où nous discutons toujours des meilleures pratiques de sécurité et de la façon de protéger vos sites. En attendant, assurez-vous que vous êtes abonné à notre liste de diffusion. C’est dans le pied de page de la page d’accueil de wordfence.com. À la prochaine fois, passez un excellent week-end et merci de votre écoute. Nous vous attraperons bientôt.

Suis moi sur Twitter @wfscottmiller. Vous pouvez trouver Wordfence sur Twitter, Facebook, Instagram. Vous pouvez également nous trouver sur Youtube, où nous avons notre Wordfence Live hebdomadaire les mardis à midi Est, 9h00 du Pacifique.



Source link