Des vulnérabilités dans les produits Kaspersky et FireEye

Des chercheurs en sécurité ont dévoilé des vulnérabilités susceptibles d’être exploitées par des attaquants, dans des produits signés Kaspersky Lab et FireEye.

Le chercheur controversé de Google, Tavis Ormandy, a ainsi publié un tweet affirmant avoir testé avec succès l’exploitation d’une vulnérabilité dans l’antivirus de l’éditeur russe. Ormandy a tweeté au sujet de l’exploitation de la vulnérabilité le 5 septembre dernier, mettant en copie Ryan Naraine, qui écrit pour le blog de Kaspersky Threatpost, avant de publier un autre tweet le lendemain pour indiquer que l’éditeur distribuait un correctif.

Naraine répondit à ce second tweet en remerciant Ormandy pour son travail. Mais le chercheur s’était préalablement attiré les foudres d’autres éditeurs pour avoir divulgué de manière prématurée des vulnérabilités.

Microsoft s’est ainsi avéré particulièrement critique à l’endroit d’Ormandy, lui reprochant notamment d’avoir dévoilé des vulnérabilités avant d’avoir eu le temps de développer une rustine.

Kaspersky n’est pas le premier éditeur de logiciels de sécurité à recevoir l’attention d’Ormandy. Celui-ci avait précédemment communiqué les détails d’exploits de vulnérabilités dans les antivirus de Sophos et d’Eset. Cette fois-ci, pour l’antivirus de Kaspersky, Ormandy évoque un défaut de configuration par défaut.

Malgré les controverses, pour Graham Cluley, il apparaît préférable que quelqu’un comme Ormandy découvre des vulnérabilités, plutôt que des attaquants. Et cela même si les informations du chercheur ont déjà été utilisées, par le passé, à des fins malveillantes.

De son côté, Kaspersky a donc corrigé la vulnérabilité en moins de 24h. Dans un communiqué, l’éditeur indique « améliorer nos stratégies de remédiation pour prévenir, à l’avenir, l’exploitation des imperfections inhérentes à nos logiciels. Par exemple, nous utilisons des technologies telles que l’ASLR [allocation aléatoire de la mémoire vive], et la prévention de l’exécution de données [DEP] ». Et de souligne encourager l’examen de ses produits par les chercheurs en sécurité, des efforts qui « nous aident à rendre nos solutions plus robustes, plus productives, et plus fiables ».

Dans une communication distincte, le chercheur Kristian Erik Hermansen a rendu publics les détails d’une vulnérabilité inédite affectant les produits de FireEye. Celle-ci affecte un script PHP des appliances de sécurité de FireEye et pourrait conduire à des fuites de données.

Très critique, Hermansen souligne que cette vulnérabilité permet d’accéder au système de fichiers de l’appliance… parce que « le serveur Web fonctionne avec les droits root. Voilà qui est excellent pour un spécialiste de la sécurité. Pourquoi faire confiance à ces gens et installer cet appareil sur votre réseau ? » Et d’assurer qu’il ne s’agit là que d’une vulnérabilité inédite affectant les produits FireEye/Mandiant… parmi « une poignée ». Hermansen affirme en outre avoir gardé pour lui cette vulnérabilité « pour plus de 18 mois, sans qu’un correctif ne vienne des ‘experts’ en sécurité de FireEye ». Et de déplorer « l’absence de processus de reporting de la part de chercheurs externes chez FireEye ».

Mais cette absence de processus de reporting externe n’a rien de spécifique à FireEye. Rapid7 a récemment souligné que seulement deux constructeurs de systèmes de surveillance de bébé connectés sur huit disposent d’un tel processus. Et ce n’est qu’un exemple.

Pour Cluley, il est regrettable que Hermansen ait publié du code montrant comment exploiter la vulnérabilité qu’il a découvert dans les produits FireEye. Ce a quoi beaucoup de chercheurs répondraient en renvoyant au délai de réaction de l’équipementier…

Et d’ailleurs, Rapid7 n’a finalement qu’une réponse très positive de la part des huit fabricants contactés. Plusieurs sont même restés muets malgré le délai de 60 jours qui leur a été concédé avant divulgation des failles découvertes dans leurs systèmes de surveillance de bébé connectés.

Adapté de l’anglais.