Linode Security Digest du 25 septembre au 2 octobre 2022

Dans le résumé de cette semaine, nous discuterons :

• Vulnérabilité de type "jour zéro" dans le plugin WordPress WPGateway
• Vulnérabilité du code Visual Studio en matière d'élévation des privilèges
• Faits saillants du rapport 2022 sur l'état de la sécurité dans le nuage (State of Cloud Security Report 2022) de Snyk

Zero-Day dans le plugin WPGateway

CVE-2022-3180 est une faille de type "zero day" dans la dernière version d'un plugin WordPress premium connu sous le nom de WPGateway, qui est activement exploitée dans la nature, permettant potentiellement à des acteurs malveillants de prendre complètement le contrôle des sites concernés. Avec un score CVSS de 9,8, cette vulnérabilité est exploitée pour ajouter des utilisateurs administrateurs malveillants aux sites utilisant le plugin WPGateway, comme l'a noté la société de sécurité WordPress Wordfence.

Comment vérifier si un site web a été compromis :

• L'indicateur le plus courant est la présence d'un administrateur avec le nom d'utilisateur "rangex".
• Un autre moyen de détecter si un site web est compromis consiste à rechercher l'apparition de requêtes "//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1" dans les journaux d'accès, bien que cela n'implique pas nécessairement une violation réussie.

Wordfence ne donne pas plus de détails sur la vulnérabilité, en raison de l'exploitation et pour empêcher les acteurs malveillants d'en tirer profit. Il recommande également aux utilisateurs de supprimer le plugin de leur système WordPress jusqu'à ce qu'un correctif soit disponible.

Élévation de privilèges dans Visual Studio Code

CVE-2022-38020 est une vulnérabilité d'élévation de privilèges qui existe dans VS Code v1.71.0 et les versions antérieures où, sur une machine Windows partagée, un attaquant à faible privilège peut créer un exécutable bash.exe dans un emplacement où les profils de terminal sont détectés. Ce profil détecté est alors exposé dans la liste des profils de terminal et peut être exécuté facilement par l'utilisateur vulnérable. Les chemins en question sont les suivants

• C:\N-Cygwin64\N-bash.exe
• C:\Cygwin\binbash.exe
• C:\ProgramData\scoop\sapps\git-with-openssh\current\bin\bash.exe

Le correctif est disponible à partir de VS Code 1.71.1. Le correctif(0b356bf) atténue cette attaque en supprimant complètement ces chemins de la fonctionnalité de détection des profils de terminaux. D'autres solutions peuvent également être appliquées, notamment éviter d'exécuter des profils de terminal qui ne sont pas censés être installés sur la machine. Un administrateur peut être en mesure de verrouiller les dossiers en question.

Faits saillants du rapport 2022 sur l'état de la sécurité dans l'informatique dématérialisée de Snyk

• 80 % des organisations ont connu un incident grave lié à la sécurité du cloud au cours de l'année dernière.
• Les jeunes entreprises à croissance rapide sont les plus mal loties, avec 89 % d'entre elles touchées. Les entités du secteur public (gouvernement et organisations à but non lucratif) ont connu une situation presque identique.
• En ce qui concerne les incidents basés sur les cas d'utilisation : les entreprises qui utilisent le nuage principalement comme plateforme d'hébergement d'applications migrées depuis un centre de données ont signalé de graves incidents de sécurité au cours de l'année écoulée (89 %), tandis que les entreprises qui utilisent le nuage pour héberger des applications tierces ont signalé des incidents à 78 %, et les équipes qui utilisent le nuage comme plateforme pour exécuter et créer des applications internes ont signalé des incidents à 73 %, ce qui pourrait s'expliquer par une plus grande visibilité et un meilleur contrôle de l'environnement. 
• La sécurité de l'infrastructure en tant que code (IaC) offre aux équipes la possibilité de vérifier la sécurité de l'infrastructure en nuage plus tôt dans le SDLC - avant le déploiement - ce qui peut faire gagner du temps et réduire la fréquence des problèmes de mauvaise configuration au moment de l'exécution.
• La sécurité IaC réduit les erreurs de configuration de 70 %, et le retour sur investissement de la sécurité IaC en termes d'augmentation de la productivité et de la vitesse de déploiement est de 70 % en moyenne dans les deux cas.
• Cinq recommandations pour améliorer la sécurité des nuages :

1. Connaître son environnement: Restez conscient de chaque ressource fonctionnant dans votre environnement en nuage, de la manière dont chaque ressource est configurée et de la manière dont elles sont liées les unes aux autres.
2. Se concentrer sur la prévention et la conception sécurisée: Pour éviter les violations du cloud, il faut prévenir les conditions qui les rendent possibles, notamment les mauvaises configurations des ressources et les défauts de conception architecturale.
3. Permettre aux développeurs d'applications en nuage de construire et d'opérer en toute sécurité : Alors que l'adoption de l'infrastructure en tant que code se généralise, les ingénieurs en informatique dématérialisée ont besoin d'outils pour assurer la sécurité dans les phases de conception et de développement du cycle de vie du logiciel (SDLC).
4. Aligner et automatiser avec Policy as Code (PAC): Lorsque les politiques de sécurité sont exprimées uniquement en langage humain et existent dans des documents PDF, elles pourraient tout aussi bien ne pas exister du tout.
5. Mesurer ce qui compte et rendre opérationnelle la sécurité de l'informatique dématérialisée : La sécurité de l'informatique dématérialisée est une question de discipline opérationnelle et de mise en place des bons processus.

L'intégralité du rapport SNYK : State of Cloud Security 2022 est disponible ici.