actualité

Vulnérabilités dans MainWP dans les version inférieur à 2.0.23

Au cours de la dernière semaine, j’ai eu l’occasion d’auditer MainWP (https://mainwp.com/) qui permet une gestion centralisée d’environnements WordPress. Durant notre revue de code, certaines vulnérabilités ont été identifiées et ont été soumises à l’équipe de développement pour la production de correctifs de sécurité. La version corrigée est maintenant disponible, ainsi, si ce n’est déjà fait, n’oubliez pas de mettre votre serveur ainsi que l’ensemble de vos clients à la version 2.0.23 ou supérieur et de suivre les instructions de mises à jours dans le tableau de bord.

update_mainwp

Je tiens à remercier l’équipe de MainWP pour la mise en place rapide des correctifs associés.

Injection WP_Query dans WordPress

Le volet des vulnérabilités logiques et avancés sur la plate-forme WordPress n’est pas très documentés et la majorité des vulnérabilités rapportés sont notamment l’injection SQL, l’inclusion de fichier ou le XSS.  Pourtant comme cette plate-forme est de plus en plus utilisée pour livrer des solutions complexes, elle devient une cible de plus en plus intéressante pour des attaques ciblés visant l’accès aux données.

Les mécanismes de sécurité et le fonctionnement interne de WordPress sont souvent moins connus et maîtrisés (aussi bien en revue de code ou en attaque en aveugle),  L’une de ces catégories d’attaque est la manipulation de WP_Query, qui est le mécanisme « standard » pour interroger les articles.

L’extrait suivant est tiré d’une plugins populaire de WordPress.

$args = apply_filters('...', array_merge($_REQUEST, $args));
...
$the_query = new WP_Query( $args );

Ce qui revient à transposer l’ensemble des paramètres GET et POST associée à la requète dans les critères de recherche de WP_Query.  Coté exploitation c’est le pire scénario, mais nous retrouvons souvent des variantes de cette vulnérabilité qui impact un ou l’autre des paramètres.

La plupart des outils d’analyse de type fuzzing vont rarement identifier cette vulnérabilité, car l’impact est limité à retourner des enregistrements ou non sans provoquer d’erreur identifiable.  Par contre, d’un point de vue d’attaque ciblé, il devient très intéressant pour un attaquant de pouvoir manipuler WP_Query pour accéder à de l’information qui lui est normalement inaccessible.

Par exemple,  &post_status=draft  permettra d’accéder aux publication non publiés, &type=any permettra d’accéder à l’ensemble des types de publications, has_password aux pages protégées par mot de passe.

Dans un contexte où l’API de WordPress protège très peu les données lors des interrogations directes, des accès à de l’informations sensible deviennent alors très facile, par exemple des fiches de membres, des commandes et des pages à accès restreints.

Budget 2015, jeu d’argent en ligne et filtration de sites illégaux

Dans le nouveau budget 2015-2016 du Gouvernement du Québec, un des éléments mentionne le jeu d’argent en ligne et la perte de revenu de Loto-Québec.  La piste de solution retenue est la responsabilité pour les fournisseurs d’accès Internet de mette en place des systèmes de filtrage de sites Internet pour bloquer des sites non autorisé par le gouvernement du Québec.

Pour reprendre l’énoncé exact du budget

Une modification législative sera proposée afin d’instaurer une mesure de filtration des sites illégaux. Celle-ci prévoira qu’aucun fournisseur de services Internet ne pourra permettre l’accès à un site de jeux de hasard et d’argent en ligne dont le nom se retrouve sur une liste de sites à proscrire établie par Loto-Québec. L’application de cette mesure sera assurée par la Régie des alcools, des courses et des jeux, laquelle devra disposer des ressources nécessaires pour exercer ces nouvelles responsabilités

 

Vous pouvez consulter le Budget ici, l’énoncé est vers la fin de celui-ci dans la section sur le jeu en ligne .

Je ne tiens pas à commenter le jeu en ligne. Par contre,  le concept de filtration de sites Internet par le gouvernement est un concept qui me déplaît.  Cette approche ne fonctionne pas.  Elle a été testé dans d’autres pays avec aucun succès, les mesures technologiques sont facilement contournables, ces dispositions législatives ouvrent la porte à des abus pouvant impacter la liberté d’expression en plus d’impliquer des infrastructures supplémentaires auprès des fournisseurs Internet.

Déjà un grand nombre de citoyens utilisent des mandataires et des réseaux privés virtuels pour accéder à du contenus non accessible du Québec tel que la vidéo sur demande ou des systèmes similaires, alors imaginer que les joueurs en ligne n’utiliseront pas les mêmes techniques et qu’ils se limiterons qu’aux sites autorisés par le gouvernement est mal connaitre la technologie en cause et le fonctionnement d’Internet et des mécanismes de contrôles associés.

Les modifications législatives ne sont pas encore proposées, mais il convient de rester vigilant.  La neutralité Internet est un concept important et la mise en place de mesure technologique n’est jamais une bonne solution pour régler ce genre de problématique qui est avant tout politique.

 

 

Vulnérabilité relais courriel (sendmail.php) dans le thème WordPress « nolimits » de whoathemes

Le thème WordPress NoLimits de whoathemes intègre un script d’expédition de courriel (sendmail.php) non sécurisé permettant l’envoi de courriel à des tiers.

$to      = isset($_POST['to']) ? test_input($_POST['to']):'';
$name    = isset($_POST['name']) ? test_input($_POST['name']):'';
$email   = isset($_POST['email']) ? test_input($_POST['email']):'';
$subject = isset($_POST['subject']) ? test_input($_POST['subject']):'';
$phone   = isset($_POST['phone']) ? test_input($_POST['phone']):'';
$website = isset($_POST['website']) ? test_input($_POST['website']):'';
$country = isset($_POST['country']) ? test_input($_POST['country']):'';
$city    = isset($_POST['city']) ? test_input($_POST['city']):'';
$company = isset($_POST['company']) ? test_input($_POST['company']):'';
$content = isset($_POST['content']) ? test_input($_POST['content']):'';
$sitename = isset($_POST['sitename']) ? test_input($_POST['sitename']):'';
$siteurl = isset($_POST['siteurl']) ? test_input($_POST['siteurl']):'';

Vulnerabilité ntopng dans pfsense

J’ai expédié un avis de vulnérabilité la semaine dernière à l’équipe de pfsense concernant le package ntopng, pour votre information voici le commit de correction https://github.com/pfsense/pfsense-packages/commit/0e931059d5cf44828b0b1dd29a9102618d0ce2a1 . Pas besoin d’inclure de PoC, le diff est assez explicatif sur la vulnérabilité. Donc si vous utilisez le package ntopng v0.2, je vous invite à le mettre à jours.

Lancement en mode béta de catégo.info

C’est avec plaisir que notre entreprise rend accessible en mode invitation notre plate-forme de gestion de la sécurité catégo.info. Ce produit à été développé pour aider les organisations à gérer de façon dynamique leur sécurité de l’information, notamment leur catégorisation, les analyses de risques et la rédaction de plan directeur.

Je tiens à remercier mon équipe, ainsi que mes clients qui ont participé au développement de cette plate-forme en ligne.

Pour plus d’information visitez decouvrez.catego.info ou sur catego.info

Conférence hackfest 2013 – Techniques d’évasion antivirale

Je serai conférencier pour l’édition 2013 du hackfest avec conférence sur les techniques d’évasion antivirale. Plus de détails à venir. Entre-temps, visiter le site du hackfest pour plus d’informations.

Techniques d’évasion antivirale

Pour chaque millier de variantes de virus, certains réussissent à survivre et à prospérer. Comment ont-ils passé à travers les mailles des filets et comment un attaquant pourrait s’en inspirer ?

Au cours des dernières années l’arsenal des solutions antivirales a évolué : sandboxing, systèmes de réputation, solutions cloud, analyse comportementale, etc. Mais pour chaque nouvelles défenses, des nouveaux vecteurs d’attaques ont fait leurs apparitions.

L’objectif de cette conférence est de comprendre comment ces mécanismes fonctionnent en détail analyser leurs vulnérabilités, et voir comment un attaquant peut les exploiter à son avantage et les utiliser pour contourner et affaiblir la sécurité d’une organisation.

En espérant vous y voir en grand nombre !

Rehausser sa sécurité informatique en 10 étapes

C’est avec plaisir que vous pouvez maintenant consulter mon article « Rehausser sa sécurité informatique en 10 étapes » paru dans la revue Via Bitume du mois de Juin.

Pour une entreprise, il est important de protéger ses données. Malheureusement pour plusieurs entreprises, un incident informatique est nécessaire avant de rehausser leur sécurité. Pourtant, les informations telles que les plans, propriétés intellectuelles, correspondances d’affaires et la comptabilité sont nécessaires au bon fonctionnement de l’entreprise. La sécurité de l’information consiste à garantir la confidentialité, l’intégrité et la disponibilité de ces données. Par où une entreprise doit-elle commencer? Voici dix éléments importants qui vous permettront d’avoir une sécurité à toute épreuve!

(suite…)

Implication dans XODA

J’ai décidé de me joindre à l’équipe de développement du logiciel libre XODA. C’est un logiciel simple permettant la gestion l’accès à des documents en lignes. La version 0.3.0 devrait sortir sous peu, plusieurs options additionnels est une sécurité accrue.

Bonne année 2011

J’en profite pour souhaiter à tous une bonne année 2011 !

Go to Top