8 juin 2020

Retours sur le SSTIC – 18e édition « OnLine » – Jour 3

SSTIC

Cette année, BSSI est virtuellement présent à la 18e édition. Le premier jour était grandiose, le deuxième jour également et voici le résumé du troisième et dernier jour.

Vous souhaitez plus d’informations ? C’est par ici :

Finding vBulletin 0-days through poor man’s symbolic execution

Par Charles Fol

Charles Fol, ingénieur en sécurité informatique chez LEXFO a été le premier intervenant au 3e jour du SSTIC 2020, avec sa présentation sur la détection et l’exploitation d’une vulnérabilité concernant le logiciel vBulletin.

La première partie de cette présentation a été un rappel des problèmes de sécurité de vBulletin depuis sa création.

Avec plus de cent mille installations, vBulletin est le logiciel communautaire leader du marché. Ce CMS de forum en ligne, développé en PHP, est utilisé par des organisations telles que Steam, EA, Sony, ou même la NASA.

L’année dernière, l’outil a été la cible d’une vulnérabilité 0-day permettant l’exécution de code sans authentification. Plus généralement, le produit, qui existe depuis 2000, a subi au cours des années de nombreuses attaques, notamment des injections SQL, sujet massif (plusieurs centaines de requêtes dynamiques) et ténu du logiciel (10 CVEs en 12 ans).

Dans la deuxième partie, Charles a décrit l’architecture du logiciel côté front-end.

L’architecture d’API du vBulletin pour un utilisateur standard (non-administrateur) est :

  • L’API, recevant les paramètres utilisateurs ;
  • Les librairies, étape intermédiaire ;
  • Les QueryDefs, qui vérifient des paramètres puis exécutent des requêtes SQL.

En termes de chiffres, on dénombre plus de 1000 méthodes d’API, 850 méthodes de librairies, et environ 250 QueryDefs :

Une requête HTTP et les interactions qu’elle produit entre les différents blocs

Charles a montré ensuite sa méthode du tainting de variables et de l’exécution symbolique afin de vérifier quels paramètres peuvent être utilisés dans des requêtes SQL, et permettre une injection.

Voici les résultats suivants qui ont été présentés :

Enfin, dans la dernière partie de cette présentation, Charles a montré un exemple d’exploitation de la vulnérabilité découverte afin de prendre le contrôle d’un compte administrateur et ainsi d’exécuter du code sur le serveur.

L’article au complet se trouve à l’adresse suivante : https://www.sstic.org/2020/presentation/finding_vbulletin_0-days_through_poor_mans_symbolic_execution/

MI-LXC: Une plateforme pédagogique pour la sécurité réseau

Par Francois Lesueur

Au cours de cette conférence, François, maître de conférence à l’INSA de Lyon nous présente Mini-Internet using LXC (MI-LXC), un outil qu’il a pour habitude d’utiliser durant les cours de sécurité réseau qu’il dispense. En effet, MI-LXC permet de simuler un mini-internet.

Une image contenant capture d’écran

Description générée automatiquement

Après avoir présenté la topologie sur laquelle il travaille, François a fait un point sur la spécification de la topologie grâce à de l’infrastructure-as-code pour programmer cette dernière (au format json) puis la génération des machines grâce à des scripts bash :

Une image contenant capture d’écran

Description générée automatiquement

Ainsi, grâce à cette plateforme, il est possible de mettre en place la topologie présentée en une quinzaine de minutes pour un coût (espace disque / RAM) relativement faible. La mise en place de cette infrastructure en utilisant MI-LXC permet également une simplification au sein de la maintenabilité et une possibilité de versionner le travail effectué.

Après la présentation de la méthodologie ainsi que les avantages de cette solution (as-code), François a présenté des scénarios d’attaques mis en place grâce à cet outil.

Il est possible de retrouver MI-LXC sur Github : https://github.com/flesueur/mi-lxc

WazaBee : attaque de réseaux Zigbee par détournement de puces Bluetooth Low Energy

Par Romain Cayre, Florent Galtier, Guillaume Auriol, Vincent Nicomette et Géraldine Marconato (LAAS CNRS)

Dans cette présentation, Romain et Florent exposent les travaux de recherche du LAAS-CNRS de Toulouse au sujet des protocoles de communications utilisés par les IoT.

La question qu’ils se sont posée est de savoir s’il est possible de détourner le comportement d’un composant radio prévu pour communiquer avec un protocole donné pour le faire communiquer avec un protocole différent.

Les scénarios d’attaque qui peuvent en découler sont des pivots interprotocoles ou des attaques par canaux cachés.

L’analyse de la modulation d’un signal BLE et de la modulation d’un signal Zigbee a permis aux chercheurs de créer une table de correspondance permettant théoriquement de passer d’un protocole à l’autre.

Les chercheurs ont implémenté cela sur deux puces BLE : la nFR52832 d’Adafruit et la CC1352-R1 de Texas Instruments.

Les résultats en émission comme en réception de protocole Zigbee sont très bons (plus de 98% d’intégrité) et démontrent la faisabilité d’attaque par pivot interprotocole.

L’article complet est disponible sur : https://www.sstic.org/media/SSTIC2020/SSTIC-actes/wazabee_attaque_de_reseaux_zigbee_par_detournement/SSTIC2020-Article-wazabee_attaque_de_reseaux_zigbee_par_detournement_de_puces_bluetooth_low_energy-galtier_marconat_AhcLCGU.pdf

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *