Archives du mot-clé Faille / Exploit

Certaines fonctions de la Nissan Leaf contrôlables à distance

Troy Hunt s’est penché sur une appli mobile officielle permettant de gérer à distance certaines fonctionnalités de la voiture électrique de Nissan : la Leaf.

Il a découvert en surveillant les communications que les échanges avec l’API ne nécessitaient aucune authentification.
Il suffit alors de disposer seulement du numéro de série du véhicule (qui peut être à la vue de tous ou caché dans le coffre en fonction des pays et des modèles) pour accéder aux infos de déplacement de la voiture (consommation, distances des trajets et heures) et gérer le chauffage (la fonctionnalité de l’appli permet de mettre en marche le chauffage de la voiture avant d’entrer dedans).

Rien de bien méchant contrairement au hack de Jeep mais pas de quoi rassurer les propriétaires de Leaf.

Des caméras de sécurité très ouvertes

On le sait, la sécurité des webcams laisse souvent à désirer avec un accès à la vidéo ouvert ou des mots de passe par défaut.

Mais les caméras découvertes par PenTestPartners poussent le bouchon un peu loin : en plus des identifiants par défaut l’accès est facilement bypassable et il existe un webshell accessible à tous qui vous donne direct un accès root.

Visiblement ce n’est pas la seule backdoor puisque des photos prises par la caméra sont envoyées à une adresse email…
Ces caméras sont facilement reconnaissable grâce à leur entête HTTP JAWS/1.0.

Pour le fun un petit exploit home-made permet de bypasser l’authentification et donner des commandes au webshell.

Instagram : quand la chasse aux bugs tourne mal

Via /r/NetSec, NEXTINpact :

Un expert sécurité habitué des bug bounty s’est penché sur un serveur Instagram / Facebook suite à un tuyau d’une connaissance.
Le serveur faisait tourner une appli sous Ruby on Rails baptisée Sensu. Il s’est avéré que la seed cryptographique de l’application n’avait pas été changée de sa valeur par défaut permettant ainsi de générer des données de session valides et exploiter des faiblesses bien connues de RoR (expliquées dans ce très bon article sur phrack.org) pour faire exécuter du code Ruby.

Le chercheur a ainsi pu récupérer un shell sur ce serveur (qui n’aurait d’ailleurs pas du être accessible à tous) et a soumit le bug au programme de bounty de Facebook.

Se demandant s’il pouvait creuser un peu plus avec l’accès obtenu il s’est penché sur les règles imposées par Facebook sur la recherche de failles et leur exploitation et n’a rien relevé à ce sujet (les règles demandent seulement que la vie privée des utilisateurs et la bonne santé du service soient conservés).

De fichier de conf en comptes trouvés il est finalement parvenu sur une instance AWS S3 sur laquelle se trouvait tous les secrets d’Instagram (certificats, passwords d’API, code source…)

Ça n’a pas du tout plus à Facebook qui a refusé de payer le bounty sous le prétexte foireux de violer la vie privée des utilisateurs (ce qui n’a pas été le cas) et qui aurait fait pression sur l’employeur du chercheur…

Pour Facebook le code de bonne conduite consiste à s’arrêter dès qu’une vulnérabilité est découverte. Seulement ce n’est pas indiqué dans leurs règles alors que c’est le cas chez Google, Microsoft, etc…

Silk Road 2 : une université américaine a t-elle été payée par le FBI pour faire tomber les admins ?

En janvier 2015 on découvrait que le FBI était parvenu à dé-anonymiser des utilisateurs de Tor, en particulier des utilisateurs de Silk Road 2 ce qui leur avait permis de mettre la main sur l’administrateur du site (novembre 2014).

Parallèlement, en juillet 2014, le projet Tor indiquait avoir découvert des nodes ayant rejoint le réseau Tor fin janvier 2014 qui agissaient visiblement dans le but de dé-anonymiser les utilisateurs.
Ces nodes ont été aussitôt retirées du réseau début juillet 2014. Le post du projet Tor date de fin juillet.

Sur ce laps de temps, un talk de la BlackHat dont le sujet concernait la dé-anonymisation des utilisateurs de Tor était annulé sans plus d’explications.

Or on apprend maintenant via des documents rendus public que le FBI a été aidé dans son attaque contre Silk Road 2 non pas par des chercheurs de la NSA mais par des universitaires.

Tout semble donc pointer dans la direction des chercheurs de l’Université Carnegie Mellon qui n’ont pas confirmé les faits mais qui se sont gardés de les démentir.

En revanche ils ont démenti, tout comme le FBI, les dires du projet Tor selon lesquels l’Université a touché un million de dollars de la part du FBI pour financer cette attaque.
L’Université a indiqué en revanche qu’ils ont parfois eu à se soumettre aux demandes judiciaires les obligeant à divulguer des infos sur leurs recherches…

Du coup le gouvernement américain dispose vraisemblablement d’un whitepaper indiquant comment déanonymiser les utilisateurs de Tor qu’il a peut être fait tourner aux services du renseignement US qui se seront empressés de créer un nouveau projet avec un nom de code amusant en lettres capitales…
De quoi réfléchir à deux fois avant de mettre en place un hidden-service sur lequel vendre votre production de plantes médicinales :p

Windows : une faille permettait de bypasser BitLocker

Via ZDNet :

Un chercheur de Synopsys a découvert que dans certaines situations (machine configurée pour utiliser un domaine Windows) il était possible de passer la protection BitLocker en mettant en place un faux domaine du même nom sur lequel se trouve le compte utilisateur avec un ancien mot de passe.

Un peu tiré par les cheveux mais dans les entreprises le mot de passe initial est souvent assez basique et peu secret, ce qui laisse une marge de manœuvre.

Faille critique dans vBulletin

Via NEXTINpact :

Le logiciel de forum PHP vBulletin, l’un des plus utilisés sur le web, est touché par une faille importante qui permet l’exécution de code PHP.

D’après un tweet la faille est causé par un manque de vérification sur des données passées à la fonction unserialize(). Le plus marrant dans cette affaire c’est que vBulletin aurait été prévenu de cette vulnérabilité… il y a 3 ans.

Il aura fallu que quelqu’un s’introduise sur le forum officiel de l’application pour qu’un correctif soit finalement publié :-/

Faille SQL dans Joomla

Un chercheur de chez SpiderLabs (TrustWave) a trouvé une vulnérabilité importante dans le CMS Joomla.

Il s’agit d’une faille d’injection SQL touchant un module de base de Joomla.
Dans l’article l’auteur décrit les différents problèmes menant à l’injection et donne un PoC (sous forme d’URL) de la vulnérabilité.
Ce PoC permet d’extraire l’ID de session d’un utilisateur connecté sur le site vulnérable ce qui permet d’hijacker sa session.

Le chercheur a préféré cette solution plutôt qu’extraire les hashs de Joomla généralement en bcrypt ou phpass (donc galère à cracker).
Seul bémol il faut que l’admin soit connecté au moment de la récupération de l’identifiant de session et la table des sessions peut contenir un certain nombre d’entrées en fonction de la popularité du site (la requête du PoC doit être améliorée pour ne récupérer que l’intéressant).

A part ça, sqlmap s’en sort bien sur cette vulnérabilité 😉

General Motors a mis 5 ans pour corriger une faille

Depuis le hack de Jeep, la sécurité des systèmes embarqués sur les voitures est un sujet sensible.

Or on apprend que des chercheurs des universités de San Diego et de Washington avaient prévenu General Motors en 2010 de différentes failles liées au système OnStar qui permettaient aux hackers de contrôler à distance les freins.
Les tests avaient été effectués sur une Chevrolet Impala mais les documents publiés à l’époque se gardaient de mentionner la marque et le modèle du véhicule.

Bien mal leur en a pris puisqu’ils sont finalement passé à côté de l’énorme buzz provoqué par Charlie Miller et Chris Valasek et que GM aura mis 5 ans à fixer le bug alors que FCA a géré le problème en urgence… Comme quoi le full-disclosure ça a du bon !