Parmi les sujets abordés dans le bulletin hebdomadaire, citons une situation de course dans le sous-système Linux Perf, un déni de service dans BIND et un calculateur d'évaluation des risques basé sur la méthode d'évaluation des risques de l'OWASP.
Condition de course dans le sous-système Perf de Linux
Le sous-système Perf de Linux est un sous-système basé sur le noyau qui fournit un cadre pour l'analyse et la surveillance des performances matérielles et logicielles. Il a été intégré au noyau Linux dans la version 2.6.31 et dispose d'un utilitaire utilisateur (perf) qui s'interface avec le sous-système du noyau. L'outil perf de l'espace utilisateur peut enregistrer, compter,b et échantillonner les événements matériels (changements de contexte et instructions exécutées par les registres du CPU) et les événements logiciels (par le biais de compteurs logiciels et de tracepoints).
La vulnérabilité CVE-2022-1729 classée CWE-362 est une condition de course dans le syscall perf_event_open et a été découverte par Norbert Slusarek. Selon la page de manuel, "Un appel à perf_event_open() crée un descripteur de fichier qui permet de mesurer les informations de performance. Chaque descripteur de fichier correspond à un événement qui est mesuré ; ces descripteurs peuvent être regroupés pour mesurer plusieurs événements simultanément."
La condition de course semble être présente depuis le noyau v4.0-rc1, et pourrait entraîner une élévation de privilèges et une exécution de code arbitraire. Le correctif pour cette vulnérabilité fait partie du cycle de publication du noyau Linux 5.17.10-rc1.
En outre, une méthode d'atténuation proposée par RedHat consiste à définir la variable kernel.perf_event_paranoid sur "3" via sysctl, afin d'empêcher les utilisateurs non privilégiés d'accéder au sous-système Perf dans le noyau.
Déni de service dans BIND
L'ISC a publié la semaine dernière un avis de sécurité concernant une vulnérabilité de haute sévérité affectant les versions 9.18.0 à 9.18.2 de BIND et la version 9.19.0 de la branche de développement 9.19. La vulnérabilité, découverte à l'origine par Thomas Amgarten, est exploitable via un réseau et l'ISC lui a attribué un score CVSS de 7.0.
Une exploitation réussie dans certaines circonstances fait que le démon nommé se termine avec un échec d'assertion (conduisant à un déni de service) si une connexion TLS du client à l'auditeur TLS http est détruite trop tôt. Les systèmes vulnérables sont constitués de serveurs BIND dont le DNS over HTTPS est activé et qui incluent une référence à http dans les instructions listen-on de leurs configurations nommées. Les configurations utilisant uniquement DNS over TLS ne sont pas affectées par cette vulnérabilité selon l'avis.
Actuellement, aucune solution de contournement n'est connue, mais ISC a conseillé de mettre à jour vers la version 9.18.3 sur la branche stable et la version 9.19.1 sur la branche de développement, respectivement, afin d'atténuer le problème.
Calculateur d'évaluation des risques
Dans le cycle de vie de la gestion des vulnérabilités, il est important d'estimer l'impact technique et commercial associé aux nouvelles vulnérabilités susceptibles d'affecter l'infrastructure d'une organisation.
Les méthodes d'évaluation des risques prennent en compte différents facteurs tels que la probabilité d'exploitation, le niveau de compétence de l'adversaire et la facilité de découverte, pour n'en citer que quelques-uns.
L'une de ces méthodes, proposée par l'OWASP, calcule la gravité globale du risque sur la base de ces facteurs.
Un calculateur d' évaluation des risques, conçu par Ivan Markovic et basé sur la méthodologie d'évaluation des risques de l'OWASP, est disponible en tant qu'outil open source. Le risque est calculé comme suit :
Risque = Probabilité * Impact
Dans la formule ci-dessus, la probabilité d'exploitation dépend d'un certain nombre de facteurs qui prennent en compte des considérations pertinentes :
- Agent de la menace : niveau de compétence, motif, opportunité et taille des acteurs de la menace.
- Facteurs de vulnérabilité : facilité de découverte et d'exploitation, connaissance de la vulnérabilité et détection de l'exploitation par un système de détection d'intrusion.
De même, les facteurs affectant l'impact global d'une vulnérabilité sont les suivants :
- Facteurs d'impact technique : perte de confidentialité, d'intégrité, de disponibilité et de responsabilité des actions d'un acteur de la menace.
- Facteurs commerciaux : dommages financiers et de réputation, non-conformité et violations de la vie privée.
Ainsi, le score de risque global d'une vulnérabilité permet aux propriétaires de prendre une décision en connaissance de cause et les aide à prioriser les correctifs.
Le code source du calculateur est disponible sur github, et plus de détails sur la méthodologie d'évaluation des risques de l'OWASP sont disponibles ici.
Commentaires