Une nouvelle vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans l’utilitaire UnRAR de RARlab. La faille pourrait permettre \u00e0 un attaquant distant d’ex\u00e9cuter des codes arbitraires sur un syst\u00e8me d\u00e9pendant de binaires si elle est exploit\u00e9e avec succ\u00e8s.<\/p>\n\n\n\n
La faille, d\u00e9nomm\u00e9e CVE-2022-30333, est une vuln\u00e9rabilit\u00e9 de travers\u00e9e de chemin dans les versions Unix de UnRAR. Elle peut \u00eatre lanc\u00e9e lors de l’extraction d’une archive RAR malicieusement con\u00e7ue.<\/p>\n\n\n\n
Apr\u00e8s la d\u00e9couverte de la vuln\u00e9rabilit\u00e9 le 4 mai 2022, le fournisseur a corrig\u00e9 le probl\u00e8me. RarLab a publi\u00e9 une mise \u00e0 jour dans le cadre de la version 6.12 le 6 mai. En outre, il a publi\u00e9 d’autres versions du logiciel pour les syst\u00e8mes d’exploitation Android et Windows, bien que ces versions n’aient pas \u00e9t\u00e9 affect\u00e9es.<\/p>\n\n\n\n
La vuln\u00e9rabilit\u00e9 peut donner aux acteurs de menaces un acc\u00e8s non autoris\u00e9<\/strong><\/p>\n\n\n\n Simon Scannell, chercheur chez SonarSource, a d\u00e9clar\u00e9 que l’acteur de la menace peut cr\u00e9er des fichiers en dehors du param\u00e8tre d’extraction lorsqu’une application extrait une version non fiable. Si le hacker peut \u00e9crire dans un emplacement connu, il peut en tirer parti d’une mani\u00e8re qui peut conduire \u00e0 l’ex\u00e9cution de commandes arbitraires sur le syst\u00e8me.<\/p>\n\n\n\n Il convient de souligner que tout logiciel qui utilise une version non corrig\u00e9e d’UnRAR pour extraire des archives non fiables est concern\u00e9 par la faille.<\/p>\n\n\n\n La suite collaborative Zimbra n’est pas en reste, puisque la vuln\u00e9rabilit\u00e9 peut entra\u00eener la pr\u00e9-authentification de l’ex\u00e9cution de code \u00e0 distance. Il peut donner \u00e0 l’acteur de la menace un contr\u00f4le complet de l’email, lui permettant d’\u00e9craser ou d’abuser d’autres ressources internes au sein du r\u00e9seau de l’organisation.<\/p>\n\n\n\n La faille est li\u00e9e \u00e0 une attaque par lien symbolique qui permet de concevoir une archive RAR contenant un lien symbolique. Le lien symbolique peut \u00eatre une combinaison de barre oblique (\/) ou de barre oblique invers\u00e9e (\\), ce qui peut \u00eatre utilis\u00e9 pour contourner les contr\u00f4les actuels, en extrayant l’archive en dehors du r\u00e9pertoire attendu.<\/p>\n\n\n\n La vuln\u00e9rabilit\u00e9 permet la conversion en barre oblique ou forward slash<\/strong><\/p>\n\n\n\n Le chercheur en s\u00e9curit\u00e9 a d\u00e9clar\u00e9 que le bug est li\u00e9 \u00e0 une fonction qui convertit les barres obliques invers\u00e9es en barres obliques. Cela permet \u00e0 une archive RAR cr\u00e9\u00e9e sous Windows d’\u00eatre facilement extraite sur un syst\u00e8me nix, en changeant le lien symbolique en \u00ab\u00a0..\/..\/..\/tmp\/shell\u00a0\u00bb.<\/p>\n\n\n\n Une fois qu’un acteur malveillant tire parti de ce comportement, il peut \u00e9crire des fichiers arbitraires \u00e0 distance sur le syst\u00e8me de fichiers cible et ex\u00e9cuter des commandes malveillantes. Cela inclut \u00e9galement l’\u00e9crasement du shell JSP dans le r\u00e9pertoire web de Zimbra, ce qui donne au hacker un contr\u00f4le total sur le syst\u00e8me.<\/p>\n\n\n\n M. Scannell ajoute que l’attaquant n’a pas \u00e0 faire face \u00e0 plusieurs exigences. Dans ce cas, la seule exigence est que l’UnRAR soit install\u00e9 sur le serveur. Cela se produira probablement puisqu’il est n\u00e9cessaire pour la v\u00e9rification du spam et la recherche de virus dans les archives RAR.<\/p>\n\n\n\n La vuln\u00e9rabilit\u00e9 a re\u00e7u un score de base de 7,5 dans le syst\u00e8me CVSS (Common Vulnerability Scoring System).<\/p>\n\n\n\n Zimbra est une solution d’entreprise utilis\u00e9e par plus de 200 000 entreprises, institutions financi\u00e8res et \u00e9tablissements gouvernementaux. Le fournisseur a publi\u00e9 un avertissement sur la vuln\u00e9rabilit\u00e9 de l’appareil suite \u00e0 la d\u00e9couverte du bug par Sonar. \u00ab\u00a0Nous avons d\u00e9couvert une vuln\u00e9rabilit\u00e9 zero day dans l’utilitaire UnRAR, un outil tiers utilis\u00e9 dans Zimbra\u00a0\u00bb, peut-on lire dans le document.<\/p>\n\n\n\n Zimbra a d\u00e9j\u00e0 \u00e9t\u00e9 li\u00e9 \u00e0 une vuln\u00e9rabilit\u00e9<\/strong><\/p>\n\n\n\n La correction de la vuln\u00e9rabilit\u00e9 intervient pr\u00e8s d’un an apr\u00e8s que Zimbra a \u00e9t\u00e9 li\u00e9e \u00e0 un rapport des gouvernements Britannique et Am\u00e9ricain qui a identifi\u00e9 l’entreprise comme une cible possible des espions Russes.<\/p>\n\n\n\n Le rapport a r\u00e9v\u00e9l\u00e9 que les cyberespions Russes exploitent 11 failles datant de 2018 utilis\u00e9es pour un acc\u00e8s initial.<\/p>\n\n\n\n Le rapport conjoint a \u00e9t\u00e9 publi\u00e9 par la NSA (National Security Agency), la CISA (US Cybersecurity and Infrastructure Security Agency) et la NCSC (National Cyber Security Agency) du Royaume-Uni.<\/p>\n\n\n\n Les agences ont inform\u00e9 les lecteurs des activit\u00e9s des services de renseignement \u00e9trangers Russes, \u00e9galement connus sous les noms de The Dukes, Crazy Bear et APT29. Ce groupe a \u00e9t\u00e9 accus\u00e9 de l’attaque de SolarWinds et d’autres attaques majeures contre des organisations Am\u00e9ricaines et Britanniques.<\/p>\n\n\n\n Afin d’\u00e9viter d’\u00eatre d\u00e9couvert et d’avoir plus d’impact, le SVR ne cesse de modifier ses tactiques en r\u00e9ponse aux pr\u00e9c\u00e9dents rapports \u00e9mis par les agences. Il s’agit notamment de l’exploitation de failles fr\u00e9quemment signal\u00e9es dans le serveur Microsoft Exchange.<\/p>\n\n\n\n Le rapport \u00e9num\u00e8re 11 failles dans des produits de Zimbra, Oracle, Cisco, Fortnite, f5, Elasticsearch, Citrix et Pulse Secure. Ces produits sont exploit\u00e9s par le SVR pour obtenir un acc\u00e8s non autoris\u00e9 au r\u00e9seau de la cible.<\/p>\n\n\n\n En outre, le rapport avertit que d’autres produits qui ne sont pas r\u00e9pertori\u00e9s pourraient \u00eatre cibl\u00e9s par le groupe de menaces. L’un des modes op\u00e9ratoires du groupe consiste \u00e0 exploiter les vuln\u00e9rabilit\u00e9s qui ont \u00e9t\u00e9 r\u00e9cemment divulgu\u00e9es publiquement. Celles-ci sont plus susceptibles de permettre un acc\u00e8s initial \u00e0 leurs cibles, note le rapport.<\/p>\n","protected":false},"excerpt":{"rendered":"